关于免杀的一点思路

杀软件的右键扫描，针对敏感api的免杀:用动态调用api的方式 替换静态调用方式，对于敏感api不直接使用windows已经声明的，要动态调用。
delphi为例:要用动态调用的方式来使用敏感api，最简单的查看方法可以用记事本打开你的exe文件，在记事本最下面的部分 你能找到你静态引用的那些api的字符串。而动态调用你就找不到那些字符串了。
下面列举两个简单的例子:

{静态调用api，以调用ShellEXecute函数为例}
program Project1
uses
  windows;
function SHA(hWnd: HWND; Operation, FileName, Parameters, Directory: PChar; ShowCmd: Integer): HINST; stdcall; external 'shell32.dll' name 'ShellExecuteA';
begin
  SHA(0, 'open', 'http://www.baidu.com', nil, nil, 0);
end.

{动态调用api，以调用ShellEXecute函数为例}
program Project2;
uses
  windows;
type
  SHA= function(hWnd: HWND; Operation, FileName, Parameters, Directory: PChar; ShowCmd: Integer): HINST; stdcall;
var
  Szdll: Cardinal;
  SHA32: SHA;
begin
  Szdll := loadlibrary('shell32.dll');
  SHA32 := Getprocaddress(Szdll, 'ShellExecuteA');
  SHA32(0, 'open', 'http://www.baidu.com', nil, nil, 0);
  FreeLibrary(szdll);
end.

把上面两个工程编译成exe 分别上传到http://www.virscan.org/ 测试一下即可看到两种调用的方式差别。

【以下转载自:http://bbs.hackfans.com.cn/viewthread.php?tid=112345】
360 云查杀:360安全卫士联合360杀毒，后台收集数据进行联合防御策略根据我的研究，360实时监视你的电脑，如果你的某个文件操作不符合系统规范时，比如后台安装服务，插入进程，COPY文件到系统目录，他就将父文件等全部后台上传，进入360服务器后，进行MD5定位，这时，如果有如果有其他电脑同 MD5文件进行操作时，在360安全卫士木马防火墙就会给你拦截，360杀毒也会查杀，这就是360公司所谓的云查杀，当然他还有复杂的计算系统，这里就不一一道出了针对360的这套防御系统，我们要怎么做才能通过呢？
老猪我针对这套系统做了以下几个策略:

1、针对后台上传
后台上传很烦人，现在基本上远控人气好的的几个小时被杀，差的一两天，但是，360后台上传有一个弊端，中国的网络基本上都是ADSL，那么上传的最大理论值是56K，所以一般大文件，他不会上传，那么我就针对这个问题，在被控端安装时，对起进行体积增加，这样，一旦文件大了 他也就不上传了，这样就会保证你的免杀持久那么有很多客户或者内奸，一旦更新了免杀，他直接上传检测怎么办？针对这个问题，我进行了自我增大优化，我远控的更新全部是在服务器更新，下载免杀时，更新器直接将更新的免杀在主控端进行自我增加，增加很大，那么一般人也就不会上传杀毒网或者360后台上传了，因为几十兆的文件，他上传要几个小时，谁愿意费这劲呢？是不是。那么这么大的文件，生成的被控端安装程序比较大怎么办？其实，我在主控端免杀增加的体积，不是无的放矢的，我可以增加当然可以提取，创建安装程序时，提取原来的文件，这样最大可能保证你的免杀持久。

2、如果你的文件被360杀掉怎么办？
其实360实时查杀并不是真正的查杀，他只是针对文件的MD5值进行校验，如果正确，就确定这个文件时毒，如果不正确就不是毒，改变MD5值的方法太多了，换个图标，改个版本号什么的，所以我在服务端做了个自动免杀，将文件进行变动，我服务器2小时更新一次，你36是实时查杀吗？你不是快吗，你快我更快，看谁更牛X。另外，因为我安装被控端时，对被控端安装文件进行了体积增大，一增大，MD5值当然更不一样了，这样就进入良性循环，360从此无忧。

3、360主动防御（360提示）
现在过360提示很麻烦，你插进程不行，建服务也不行，更不能动注册表，NND,你够狠，可是难道这样我就没办法了吗？你狠我更狠，老子安装时扫描被控端的启动列表，你一台电脑总得有几个启动项吧，老子把你启动的程序给换了，启动我的程序后，我再启动你原来的程序，我也不动你的注册表 也不建服务，我看你怎么办？等你把我这招防御住了，老猪我还有几套备用方案呢。

3、瑞星主动
其实瑞星就一2B，过主动很简单，安装的时候加装一个窗体文件，不能纯DLL文件，窗体你可以设置成最小的一个点，这样就能过了，是不是超级简单？另外老猪研究了一套系统，可以兼容任何木马。

转：http://www.cnblogs.com/greensoft-taobao/archive/2011/11/11/2245424.html