一篇关于360四引擎免杀文章

60过完年了，双引擎不算又出了个四引擎。对于双引擎还是很好免杀的，但是关键的难度是四引擎了，下面说说最近过360的一些经验，不保证100%有效，但是于360杀毒很无语的菜菜（我也是菜菜）来说，应该还是有帮助的。

先说说360双引擎：
1.首先建议直接做DAT文件的免杀，如果是鸽子的话，可以生成服务做免杀（方便测试以及……嘿嘿）。然后删除掉鸽子的配置信息，修改下后缀就可以把EXE改成DAT。这样还有一个好处是，对于金山的数据流查杀杀配置信息，这样是可以过的。（当然你预处理做的好可以直接免杀）。

2.360的双引擎，一般来说加一个版本就可以过，比如PPS什么的。我个人感觉加一些系统文件的版本还是被杀的，我的建议是加一些非系统文件的版本进去，就像是装机软件，也是可以的。（PS：还有更换图标）

3.360的双引擎想要直接秒杀的话最好的方式是无特征码免杀，可以整个修改加密软件（壳）的流程，这就看你的汇编底子了，一般来说把NSPACK或者ASPACK，关键是VMP（早期版本，新版本你能改的出来就怪事）修改部分流程就可以秒杀360，多重壳（建议不超过两层，如果壳加多了，那么高启发不是吃白饭的，过了360，可能NOD小红伞就不过了，孰轻孰重，自己掂量）也是可以秒杀的。比如说我之前拿到一个鸽子，已经被杀了，但是加了一个北斗4.1，没有任何处理就又免杀了，但是对DAT加壳处理的话，一定不能勾选压缩资源，不然生成Server.exe会出错。（修改入口的效果也会不错）

4.定位360双引擎时候的特征码问题，老生常谈了吧，听雪饮枫这位免杀基础很好的同学在写过死循环的时候也提到过，就是对于MYCCL的设置（貌似现在定位360都用MuiliCCL了吧），以及对于输出位置以及小马本身的一些问题。详细大家可以去凡窝看看。在这里就简单说一下，也是从听雪那里听到的定位NOD的一个方法，对于360同样有特效。

(1).MYCCL反向定位，填充00，起始位置就在第一区段开始位置，生成块数15以内（越小越好）

(2).特征码较多是自然的，但是真正的就没几个，遇到PUSH什么的先留着，遇到字符串也先留着（据我的个人经验判断，这些特征码一般是假的，），遇到CALL、JMP的就通通使用跳转法（就我的经验，跳转次次都是成功的，如果一次错误，重新再试，理论和我个人的实践上都是百分百成功的）

(3).改了还杀，继续定位，一直定到只有一两个的时候才开始考虑字符、PUSH什么的其他的特征码，如果改了还杀，就手动进入C32，找到输入表一个函数、一个函数地去填充，看看到底是哪个函数（就我的经验，如果没有源码，找到函数后直接搜索调用，调用的全部跳转掉，就能成功免杀）基本就是这些了，如果遇到其他的情况就要灵活应变，我就从来没遇到其他情况过了- -这里的这个“我”指的是小曾，是小曾给听雪老贼说的一个方法，对于NOD32也有效。

5.一个过360双引擎的方法，DAT文件去PE头然后加花（算是预处理），然后定位特征修改，最后加壳修改。

6.一个常识，360用的BD的引擎，换句话说，过了BD就等于过了360，过了360等于过了BD。

下面就说说360的四引擎：
1.360的四引擎关键杀的地方时哪里呢？是输入表！别妄想通过定位来找到输入表的位置，你只能找到全部输入表之后，一个一个的填充测试。当然有的时候360杀的不至一个输入表函数，但是不用担心，对于杀毒软件的特性来说，一个文件只存在一个特征码不会报毒（但是有的会报可疑，比如卡巴），因为EXE文件有多少？肯定会有部分EXE不属于病毒文件但是包含了特征，杀毒软件出于减少误杀率的考虑，只有出现两个，或者两个以上让杀毒软件足以确认EXE是病毒的时候，才会报毒。所以，你填充掉一个输入表函数，如果刚好是360四引擎杀的函数时，不会报毒的。你也不用去费劲再去找另外一个函数。（很可能……360杀一个函数组也不一定……）

2.一个常识，定位肯定不能过四引擎。

3.还是一个常识，无特征码别指望过四引擎（即使加密了输入表）

4.听雪定位360四引擎的一个方法，加一个版本（比如QQ，然后定位）。这样一般是可以定位的，但是也有部分不行，视马而定了。

5.接下来是一个在FANS上面看到的方法，很挺有用的，大意是：360不止查杀输入表（作者全部00掉输入表测试过），360可能还杀PE头部。只修改输入表是没用的，还有可能杀程序的乱码（可能配置信息）。而且，4引擎不吃图标，不吃版权，不吃数字签名。缺点是没有主动防御。PS：完全过掉360提示的马有机会不做任何处理秒杀360杀毒，注意，是有机会。

6.听说破坏指针可以过。

7.纠正一个错误观点，过了360四引擎就过了云查杀纯属扯淡。

8.360杀的是函数。

9.一个待考证的说法：360四引擎特征码不能通过90 20等无效指令修改，只可以通过汇编。

10.免杀四引擎有效方法：首先定位特征码，去除掉QVM查杀，另外三个引擎特征码过掉之后，你再勾选四引擎查杀看看，肯定是被杀的。那么，现在就破坏掉他的输入表，看看免杀么。80%免杀了！如果还是不免杀的话，那么就继续定位特征码，然后修改。（勾选了QVM查杀的）。经过准确测试，鸽子（黑防，2.03，1.23），白金，Ghost，可以过的。再谢下听雪同学贡献的方法。

其实，对于360四引擎的免杀方式有很多，真的有很多，只是大家不会综合运用。多种对输入表的免杀手法可以混合着用，对四引擎也是有特效的！对于四引擎还有一种方法是函数外置法，完全可以过掉四引擎，但是木马体积会增加很多，上2M。所以说，这个方法暂时用于研究。关键是对小马进行无特征码处理，这个才是过四引擎的关键。