灰鸽子终极免杀
灰鸽子病毒检测及清除的手段方法
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
[img][/img]
经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了,下面就可以进行手动清除。
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。
灰鸽子病毒 是一个免杀的远程控制软件,但是作为病毒使用也很方便
一、灰鸽子病毒详细简介
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
灰鸽子上线详细教程
Gray pigeons--灰鸽子是什么呢?灰鸽子简单的说它是远程监控软件,(黑客类),当然也可以说他是一个病毒.木马或则说是后门之类的恶意软件灰鸽子分为2个部分:客户端和服务端,把服务端发出去,别人下载后安装.....(当然也有不需要安装的以及IE版的只要下载[浏览]就中招)而你操纵着鸽子的客户端,你可以任意的操纵别人的电脑...-当然想让别人中招也不是那么容易的现在国内主流的杀毒软件很容易就把它和谐掉了.当然有你有杀毒软件别人也可以做出无视杀毒软件的服务端(简称:免杀),免杀的话那就是杀毒软件查不到那是一个木马程序!鸽子是国内一款著名后门。
比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。
其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。
客户端简易便捷的操作使刚入门的初学者都能充当黑客。
当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。
但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
这就好比火药,用在不同的场合,给人类带来不同的影响!(其他的我也说不清楚)如果你会使的话那么它可以做很多事。
NB点的黑客可以通过各种渠道得到它想要的东西,。
(如QQ的刷钻刷QB等以及在网络上购买你想买的东西甚至其他更为贵重的物品,都可以通过它做到,当然要自己会用懂用)总之灰鸽子在不同的人手里用法就不同,你可以拿它来逗你朋友,吓唬别人,整蛊别人,也可以拿它来刷QQ钻(前提是需要控制到宽带上网用户)个人对鸽子的认识我对它的了解也不是全面的(现在我把鸽子的假设教程发出来喜欢耍的自己学着架设吧!)------------------------------------架设教程-------------------------------------首先下载灰鸽子-[你可以去百度搜索下载]我这里提供一个下载地址吧!灰鸽子下载:/file/t06ef189fa(不知道这个地址能活多久如果能下载就下吧下不到就自己去百度搜)下好鸽子后解压到任意磁盘或则桌面等任意目录!1.打开 H_Client.exe (鸽子启动程序)(如图)2.去希网注册一个用户信息地址: 如图3.注册好后登录点击【我的控制台】在动态域名(DynamicDNS) 下面有个新建点它如图4.我这有3个那是自己以前建的现在你点了建设后就自己填写一个你想要的数字或则字母组合域名(随便写也可以只要自己可以记住)如图 IP地址如果默认显示的就是你外网IP 如果你是局域网的话那么填写你的本地IP127.0.0.1或则局域网IP也可以,填写好后点【确认】5.下面就下载另外一个软件cn99qdns /file/t0be434e40 下载好后安装它安装方法全部默认如下6.OK 安装完成了默认安装在的路径是 C:\Program Files\cn99qdns 下面打开这个路径 Cn99qdns.exe打开它如图7.点击 Cn99qdns客户端上的管理帐号如图域名:就是第4个步骤叫你新建的动态域名用户:就是第二步叫你注册的用户名口令:第二步注册的那个用户名的密码(注册成功后发到你邮箱的)填写好后点【增加】看到如下图必须显示可用才行如果不可用那么就是希网那的IP错误了自己修正去!出现这个图显示可用后点确认按钮它就托盘了不管他了!---------8.现在什么都搞好了返回灰鸽子软件界面点击软件上的【工具】选择【FTP 服务器】如图9.做了第8步后会弹出个小窗口 FTP服务器填写方法FTP主目录:就是你灰鸽子解压在的目录路径,比如我解压在桌面那就是C:\Documents and Settings\Administrator\桌面\黑防鸽子\服务端口:2121 不用改把那个匿名勾点掉用户名:就是希网注册的用户密码:希网用户的密码填写好后点开启服务如图开启服务后就关掉这个小窗口10.下面点灰鸽子软件上的自动上线按钮如图(点了后会弹出小窗口)弹出小窗口FTP服务器:你在希网新建的域名端口:2121用户名:希网注册的用户名连接类型:PASV登录密码:希网用户名密码密码确认:确认密码然后点【更新IP到FTP空间】显示成功就表示OK 以下是我填写的图自己参考!11.OK了架设就这样基本完成了。
源码免杀第四讲:灰鸽子1.2源代码简单修改过江民2009杀毒软件
国人应该团结起来一致对外才是我们的责任.由此动画造成的任何后果和本站无关.
======================================================================
讲师:饮雪焚心<qzqwaz2006>
【教程计划】
============================================================
(1)定位特征码
[特征] 000BC63A_00000002
[特征] 000BD89E_00000002
江民2009
如何找到被杀源码呢,大家注意特征码中的字符,找出源码相似的!
Halt(0);
except
end;
Exit;
end;
这一处如何修改呢,怎样用最简单的办法过掉江民呢?
方法(1)这处功能可以不要,删掉!
方法(2)可以将alt(0)修改为exit或者删掉
修改如下
if StrTmpList[1]='075' then
begin {重新加载}
try
Timer1.Enabled :=False;
======================================================================
甲壳虫免杀VIP教程
专业的免杀技术培训基地
我们的口号:绝对不一样的免杀教程!绝对不一样的实战体验!清晰的思路!细致全面的讲解!让你感到免杀原来可以这么简单!
大家发现有NetSata,好的,利用delphi的search功能找到——请看(2)
灰鸽子使用教程
灰鸽子使用教程灰鸽子是国内一款著名后门。
比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。
其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。
客户端简易便捷的操作使刚入门的初学者都能充当黑客。
当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。
但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
这就好比火药,用在不同的场合,给人类带来不同的影响。
对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。
黑客利用客户端程序配置出服务端程序。
可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制,避免了黑客之间的竞争。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
只用一个端口来传输所有通讯数据!普通同类软件都用到了两个或两个以上的端口来完成。
支持可以控制Internet连接共享、HTTP透明代理上网的电脑!软件智能读取系统设定的代理服务器信息,无需用户设置!可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能!无需第三方软件支持!支持Windows9x/ME/2000/Xp/2003。
便于黑客进行跳板攻击。
除了具有语音监听、语音发送,还有远程视频监控功能,只有远程计算机有摄像头,且正常打开没有被占用,那么你可以看到,远程摄像头捕获的图片!还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。
其他后门具有的功能,你几乎都可以在灰鸽子里找到。
而且每个功能都做的非常细致,非常人性化。
整体界面比较清爽,容易上手,对每一个小细节的考虑都很到位,所有能想到的Ideal几乎都实现了。
任务2 木马免杀
第二章任务2 木马免杀2.1 木马免杀概述免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,我们可以翻译为“反杀毒技术”。
木马免杀可以将其看为一种能使木马避免被杀毒软件查杀的技术。
木马免杀技术的涉猎面非常广,涉及反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术。
2.2 木马免杀原理(1) 杀毒原理当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法两种。
特征码就是能识别一个程序是病毒的一段不大于64字节的特征串。
特征码定位法分为文件查杀和内存查杀,杀毒软件公司拿到病毒的样本以后,定义一段病毒特征码到病毒库中,然后与扫描的文件比对,如果一致则认为是病毒。
内存查杀则是载入内存后再比对。
行为检测法是新出现的一种定义病毒的方法,它利用的原理是某些特定的病毒会有某些特定的行为来做出是否为病毒的判断。
(2) 木马免杀原理免杀在某种程度上可以说是杀毒软件的对立面。
杀毒软件通过特征码查杀病毒,相应的,通过修改特征码的方法来实现木马免杀。
特征码修改方法:方法一:直接修改特征码的十六进制法●修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制。
●适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下文件能否正常使用。
方法二:修改字符串大小写法●修改方法:如果特征码所对应的内容是字符串,只要把大小字互换一下就可以了。
●适用范围:特征码所对应的内容必须是字符串,否则不能成功。
方法三:等价替换法●修改方法:把特征码所对应的汇编指令,替换成功能类似的指令。
●适用范围:特征码中必须有可以替换的汇编指令,比如JE,JNE 换成JMP等。
方法四:指令顺序调换法●修改方法:把具有特征码的代码顺序互换一下。
●适用范围:具有一定的局限性,代码互换后必须不能影响程序的正常执行。
方法五:通用跳转法●修改方法:把特征码移到零区域(指代码的空隙处)执行后,使用JMP指令无条件调回原代码处继续执行下一条指令。
灰鸽子免杀教程
诺顿的查杀特点:大家有时候会发现,通过改特征码,加花指令,改内存特征码,等等,卡巴,江民,金山,瑞星都过了,但无论如何都过不了诺顿,这时候是不是感到很纳闷.其实诺顿特征码的定义和其它杀毒软件不一样,其它杀毒软件的特征码都在代码段而只有它把特征码定义在PE头文件里面.而在头文件里面,一般都用字符串作为病
绝技四:一个不太通用的免杀方法
免杀方法一:把入口点第三句开始的几行(20字节内)汇编代码移到零区域去执行,也达到一定的免杀花指令后入口点下移法
操作过程:加花指令后,可以把入口点下移好一位,这样可以进一步达到免杀效果.
一.木马免杀综合方案
本文由365900063贡献
绝技一:快速搞定瑞星文件查杀
操作步骤:
第一步:用OD载入,来到程序的入口点。
第二步:把入口点的第一句PUSH EBP 改成POP EBP 然后保存就可以躲过瑞星的表面查杀。
绝技二:快速定位与修改瑞星内存特征码
原理:因为目前的内存查杀杀毒软件,只有瑞星才能威胁到我们的木马。也就是说只要搞定瑞星的内存查杀,那我们的木马在内存就畅通无阻了. 但由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,
毒特征码,知道了原理,就有下面的二种方法来应付.
方法一:只要把头文件的字符串的大小字互换一下就可以搞定了.
方法二:有二款压缩软件WinUpack和北斗星,经过他们的压缩,会把我们的木马程序的头文件改的面目全非.所以把我们的木马做好其它的杀毒软件的免杀后,再用这二款压缩软件的压缩就可以躲过诺顿的查杀.
修改内存特征码>1>入口点加1免杀法 1>加压缩壳1>>再加壳或多重加壳
源码免杀第五讲:灰鸽子1.2源代码简单修改过金山2009杀毒软件
(2)思考:
这次上下代码找不到啊,该怎么办呢?我们来看汇编的,INAL,DX
是I/O指令,这处特征码和江民2009的NetSata比较靠近,重新加载服务端是
在其他设置,我们就到其他设置找了。
(2)对应源码中的修改
if StrTmpList[7]<>'' then
SetComputerName(Pchar(StrTmpList[7]));
动画教程只是起到技术交流作用.请大家不要利用此方法对国内的网络做破坏.
国人应该团结起来一致对外才是我们的责任.由此动画造成的任何后果和本站无关.
======================================================================
讲师:饮雪焚心<qzqwaz2006>
【教程题目】第五讲:灰鸽子1.2源代码简单修改过金山2009杀毒软件
【教程目的】用最简单和最快速的办法过掉杀毒软件
【教程口号】坚信任何杀软都有弱点,只要你有一个不断探索发现的心!
附:【教程加餐】探索发现:一招搞定金山2009 !(这次就留给会员作业,谁
找到一招搞定的,联系我,奖励一款免杀远控,希望有许多会员能够获得!)
到一招搞定的,联系我,奖励一款免杀远控,希望有许多会员能够获得!)
甲壳虫免杀VIP教程
删掉这一句。
修改好了!看看能不能过掉金山2009, PASS了!!
============================================================
方法很简单吧,主要是你能不能找到对应源码的,改多了就明白了!
好了,教程结束!
免杀方法
2. 修改输入表:查找此文件的输入表函数名(API Name),并将其移位。
3. 打乱文件结构:利用跳转(JMP),打乱文件原有结构。
4. 修改入口点:将文件的入口点加1。
5. 修改PE段:将PE段移动到空白位置
二、被动免杀
1. 修改特征码:用一些工具找出特征码并针对特征码做免杀处理。
3.实战演习
1.)修改字符特征
好,下面我们依然以一个病毒防御工作者的角度来考虑我们每一步应该做什么,然后在利用逆向思维分而治之。
现在假如我们拿到一个木马样本灰鸽子,首先当然要分析它究竟有什么功能,怎样运行以及怎样保护自己等。其实这一步要求的专业知识是很多的,但考虑到我们的读者,我们暂且用一个比较简单易行的方法--运行木马AND查看此程序的帮助文档。
二: 免杀方法和原理
自从病毒与杀毒软件的诞生以来,他们之间的战争就从来没有停止过……多套特征码、自动脱壳、内存杀毒、主动防御等等的出现为网络安全做出了一次次的贡献,当然黑客们也毫不逊色,也出现了修改特征码、加双层变态壳、去文件头等新的免杀技术。
古人云"知己知彼,方能百战不殆!"
今天,我们就以一个病毒防御工作者的角度来做我们的免杀工作。想不被杀,就要先知道是怎么杀的,还不太懂的朋友赶紧偷偷借机恶补吧。
键值: 字符串: "复件 Server02"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Class
键值: 字符串: "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\ClassGUID
实验17 灰鸽子木马利用与防护
灰鸽子木马利用与防护(SEC-W06-001.1)木马,又名特洛伊木马,其名称取自古希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有很强的隐蔽性和危害性。
为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己、加载运行的目的。
本案例以国内著名的灰鸽子木马为例讲述木马的使用和防御。
实验目的●了解木马病毒对终端主机的安全威胁,以及木马病毒如何对主机进行攻击。
实验准备●准备两台电脑,一台为服务器(win2003)和一台为winxp电脑:Win2003 服务器的设置:1.设置IP地址为192.168.25.772.右击我的电脑,选择管理,选择本地用户和组---用户---administrator,设置其密码为demo 3.右击我的电脑,选择属性---远程选项卡,勾选远程桌面下的允许用户远程连接到这台计算机。
(开启了3389端口,通过netstat –an 可以查看)客户机(win xp):设置其IP地址为192.168.25.78●请下载灰鸽子木马程序(本案例使用的是灰鸽子牵手版)到个人PC(winxp电脑)上。
(把木马程序放在winxp电脑上)如图1如图1●在个人PC上运行远程桌面客户端程序mstsc.exe,输入服务器IP地址192.168.25.77,点击“连接”,登录时用户名为“administrator”,密码为“demo”。
如图2图2●登入远程虚拟平台之后,在服务器上建立“新建文件夹”,重命名为“share”,然后右击文件夹,选择“属性”,在“共享”栏中,选择“共享该文件夹” 。
如图3图3为了通过网络共享从本地拷贝文件到虚拟平台,确认控制权限为“完全控制”。
如图4图4以上操作的目的是,为了以后把winxp上生成的服务端程序拷贝到服务器的共享文件夹share 中。
实验步骤下载使用灰鸽子木马步骤说明:下载和使用灰鸽子木马1.在winxp电脑上,打开已经下载好的灰鸽子木马所在的文件夹qs2004,双击里面的灰鸽子客户端H_client(本案例中如果碰到灰鸽子客户端无法打开的情形,请从“灰鸽子_牵手.zip”重新解压生成一个新的客户端程序再执行)。
所有关于灰鸽子上线以及抓鸡的教程
电信/Soft/html/11/22/2006/200603104908.htm
网通/Soft/html/11/22/2006/200603104908.htm
12、 内网鸽子上线绝版(无须影射)
网通/Soft/html/11/22/2006/200602244719.htm
26、 灰鸽子配置加内网路由器无权限上线
电信/Soft/html/11/22/2006/200602244717.htm
网通/Soft/html/11/22/2006/200602244717.htm
27、 原创-灰鸽子免杀之转换思路过卡巴
电信/Soft/html/9/88/2006/200602204682.htm
网通/Soft/html/9/88/2006/200602204682.htm
28、 灰鸽子简单免杀
电信/Soft/html/11/22/2006/200603064864.htm
网通/Soft/html/11/22/2006/200603064864.htm
21、 黑防鸽子服务端自动免杀器
电信/Soft/html/15/38/2006/200603064852.htm
31、 鸽子必备_DNS域名
电信/Soft/html/11/22/2006/200602194654.htm
网通/Soft/html/11/22/2006/200602194654.htm
32、 鸽子过卡吧内存免杀
电信/Soft/html/12/24/2006/200603094894.htm
网通/Soft/html/12/24/2006/200603094894.htm
源码免杀第六讲:灰鸽子1.2源代码简单修改过瑞星2009杀毒软件
7%不能运行,3%不能上线(个人统计)。VIP会员们可以使用本站发布的VIP
会员工具加壳(国外壳)。瑞星算是国内一家比较强的杀毒厂商!
主动防御方面:还没有找到适合大多数会员简单的源码修改办法,基本所有远
控用到微软的VFW屏幕视频类的,都会被瑞星2009主动防御提示,目前还没
动画教程只是起到技术交流作用.请大家不要利用此方法对国内的网络做破坏.
国人应该团结起来一致对外才是我们的责任.由此动画造成的任何后果和本站无关.
======================================================================
讲师:饮雪焚心<qzqwaz2006>
有什么好的解决方法
突破主动防御秘籍:这里我就给会员演示一种保护壳(eXPress1.6),对瑞星主
动有效,而且首先要过表面,【测试对所有鸽子都有效】
特征码物理地址/物理长度如下:
[特征] 0009DC20_00000002video.avi
[特征] 000B7762_00000002capCreateCaptureWindowA
======================================================================
甲壳虫免杀VIP教程
专业的免杀技术培训基地
我们的口号:绝对不一样的免杀教程!绝对不一样的实战体验!清晰的思路!细致全面的讲解!让你感到免杀原来可以这么简单!
【教程题目】第六讲:灰鸽子1.2源代码简单修改过瑞星2009杀毒软件
一招搞定瑞星2009表面
特征码免杀之MYCCL应用
其他视频:/v1/group?g=0038458699480bc71500 (黑客爱好者吧)
今天是:2008-05-15 四川汶川7.8级地震已过三天,愿四川受难的朋友们早日脱离苦海,也愿全中国人伸出援助之手,大力支援四川,尤其是唐山人更要献出自己一份力!哪怕捐献1元钱!
教程名称:
特征码定位免杀之MYCCL、C32asm、OD的应用 (教程中附带相关工具,除OD外,help.exe为做试验用的病毒样本)
免杀对象:灰鸽子服务端木马 目标:过卡巴 本次免杀方法介绍:2种
所需工具:
MYCCL.exe特征码定位器、OC.exe偏移量转换器、C32asm静态反汇编、Ollydbg.exe(简称OD动态反汇编)、杀毒软件。
2、运行MYCCL.exe,单击“文件”载入刚才生成的木马文件,“目录”可不用改
3、成功载入后,可看见“PE文件 节表信”,病毒特征码一般在CODE代码范文内,再把“起始位置”“物理长度”下的CODE 代码 复制到MyCCL的“开始位置”和“分段长度”中。
4、设置好“分块数量”点击“生成”
7、记下特征码地址,然后运行“OC.exe”,查询特征码对应的内存地址
特征码 十六进制数据 内存地址
00006F59_00000002 08 00 00407B59
8、开始实施免杀:
第1种相当简单; 用C32Asm修改特征码对应的十六进制数据 原来为 08 00 改为00 00 即可,看我操作。
技巧:
分块数量即生成文件数量,最初即先设置较小的数如20,来确定病毒特征码的大范围,第二次或更多次,再把范围缩小,但最好不要太大(100以内);主要还是多练习,取决于经验!
(完整)免杀全教程【请勿用于非法】
木马精华免杀教程教程来自【暗黑网络】暗黑网络技术公会让更多的朋友了解黑客-YY496342本公会采用YY方式是让您更加方便的交流和学习,本公会,免费赠送工具,教程,等一切免费,大量招收导师如果觉得你行那就来试试吧YY496342本公会+此文档只是让大家多一点防范的意识请勿用于非法第一部分:对国内外杀毒软件分析在讲特征码前,先要分析国内外著名杀毒软件的查杀特点。
大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀。
瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。
像强悍的卡巴,金山,等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码.第二部分:木马免杀的对策一.要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则下面的免杀操作就不能进行下去。
二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能达到内存免杀。
二.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用.1>.入口点加1免杀法.2>.变化入口地址免杀法3>.加花指令法免杀法4>.加壳或加伪装壳免杀法.5>.打乱壳的头文件免杀法.6>.修改文件特征码免杀法.第三部分:免杀技术实例演示部分一.入口点加1免杀法:(NC)1.用到工具:PEditor2.特点:非常简单实用,但有时还会被卡巴查杀.3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.二.变化入口地址免杀法:(NC)1.用到工具:OllyDbg,PEditor2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.三.加花指令法免杀法:(Sniff)1.用到工具:OllyDbg,PEditor2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.四.加壳或加伪装壳免杀法:(findpass)1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳.五.打乱壳的头文件免杀法:(nc)1.用到工具:秘密行动,UPX加壳工具.2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.六.修改文件特征码免杀法:1.用到工具:特征码定位器,OllyDbg2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.第四部分:快速定位与修改瑞星内存特征码一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.第五部分:木马免杀综合方案修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳2>变化入口地址免杀法 2>加生僻壳 2>加壳的伪装.3>加花指令法免杀法 3>打乱壳的头文件4>修改文件特征码免杀法注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.第六部分:免杀方案实例演示部分1.完全免杀方案一:(灰鸽子VIP2.0)内存特征码修改+ 加UPX壳+ 秘密行动工具打乱UPX壳的头文件.2.完全免杀方案二:(findpass)内存特征码修改+ 加压缩壳+ 加壳的伪装3.完全免杀方案三:内存特征码修改+ 修改各种杀毒软件的文件特征码+ 加压缩壳4.完全免杀方案四:内存特征码修改+ 加花指令+ 加压缩壳5.完全变态免杀方案五:内存特征码修改+ 加花指令+ 入口点加1 + 加压缩壳UPX + 打乱壳的头文件还有其它免杀方案可根据第五部分任意组合.暗黑网络YY496342。
灰鸽子木马原理
灰鸽子木马原理一、什么是灰鸽子木马灰鸽子木马是一种具有高度隐蔽性和持久性的远程控制软件。
它通常通过钓鱼邮件、恶意下载和网络漏洞利用等方式传播,目的是植入受害者计算机系统,并使黑客能够远程控制和监控计算机。
灰鸽子木马得名于它使用灰鸽子作为其标志性图标。
二、灰鸽子木马的传播方式1.钓鱼邮件:黑客通过发送看似合法和诱人的邮件,含有携带灰鸽子木马的附件或恶意链接。
当受害者打开附件或点击链接时,木马会悄悄地进入系统。
2.恶意下载:黑客会在一些不安全的网站上发布包含恶意代码的软件或文件。
当用户在这些网站上下载并安装软件时,木马就会感染受害者的计算机系统。
3.网络漏洞利用:黑客会利用已知的系统漏洞来传播灰鸽子木马。
他们通过扫描网络,寻找可利用的漏洞,并通过这些漏洞远程感染受害者的计算机。
三、灰鸽子木马的工作原理灰鸽子木马主要包括三个核心部分:客户端程序、服务器端程序和控制面板。
1.客户端程序:客户端程序是指感染了受害者计算机的木马程序。
一旦成功感染,客户端程序便开始在计算机中植入和运行。
它通过窃取敏感信息或监控用户行为来完成黑客的意图。
2.服务器端程序:服务器端程序是黑客控制灰鸽子木马的中央管理系统。
黑客使用服务器端程序来监控和控制感染了客户端程序的计算机。
3.控制面板:控制面板是黑客使用的用户界面,它允许黑客查看和操纵感染了灰鸽子木马的客户端计算机。
通过控制面板,黑客可以发送指令、收集信息和执行各种操作。
灰鸽子木马主要通过以下方式实现远程操控和监控:1.启动自动运行:灰鸽子木马会在感染计算机时添加自启动项,确保在计算机启动时自动运行,以保持持久性。
2.反向连接:客户端程序会与服务器端程序建立一个隐藏的反向连接,使黑客能够远程访问受感染计算机的指令和数据。
3.远程执行命令:黑客可以通过控制面板发送指令给感染了灰鸽子木马的客户端计算机,实现远程执行命令。
4.收集敏感信息:客户端程序可以记录受害者的键盘输入、屏幕截图和网络流量等信息,并将其传输到服务器端程序。
彻底干掉灰鸽子
键, 彻底 删除掉 。
2 0 年 3 2 日, 鸽 子 工 作 07 月 1 灰 室 宣 布 全 面 停 止 对 灰 鸽 子 的 开
发 、 新 和 注 册 , 提 供 了专 用 的 更 并
要注 意 的是 , 鸽子 中毒 后的 文件名 灰 各不相 同, 是由攻击者 定制的 , 应尽可能 根 据 冰刃 提示 的路 径去 查 找。 的版本 带有 有
业 机密 闻断性骚扰、 搞性破坏 圆匾 亟 恶
◎灰鸽子2 0 是最后一个正式版 07
排 行榜 的冠军 , 不能小看。 可
专杀一箩筐
对 于大 部 分 的灰 鸽子 木 马 , 常 用 的杀 毒软 件 都能 够及 时发 现 并清 除。 除此 之外 , 我们还 可 以使 用专杀 工具来 清除 , 除了灰鸽 子工作室 的专 用 卸 载 工具 外 , 大 杀 毒 软件 公司 各
维普资讯
藿一 战 线 一
◎ I S r可 以查 出隐藏 的木 马进程 c wod e
Ie w r中点击左 边 “ cS od 文件” 签 , 标 浏览到 图中在 “ 序名称 ” 程 下提示 的文件 夹, 找到
g sre2 0 e e _ ev r0 Z x 和g sre20 dl evr0 Z l 点击右
◎ 如果 对自己的电脑 不放心 . 议挑 选一种 建 专杀 工 具 扫 描 下 ◎手工清除灰鸽子并不复杂
预防方法
灰鸽 子 自身 并不具 备传 播性 , 般通 一 过 捆 绑 的 方 式 进 行 传播 , 主要 有 四 种途
都 了发布 自己的专杀工 具 ( ) 图2 。 为 了 方 便 大 家 下 载 , 们 将 我
p d 。 常 中 了灰 鸽 子后 , 们 在任 务 管 理 器 的列 表 里 是 看 不 到 它 的 , c) 通 我 但 在J e wod c S r 中它 就 会现 身。 以我 们同时 打开 它们 来查 看 , 所 比较 —下进 程 ,
教程之灰鸽子VIP2006终极免杀技术-电脑资料
教程之灰鸽子VIP2006终极免杀技术-电脑资料这次给大家做一个过各种杀毒软件的免杀教程,。
这次教程主要以灰鸽子VIP2006服务端为例!现在网上很多免杀教程,我也看过很多,但是免杀效果都不是很好,用不几天就被杀了,所以真正免杀的鸽子,还是修改杀毒软件的特征码。
这样免杀效果才更好,能达到长期免杀。
今天这节课主要给大家讲过卡巴内存免杀和外表免杀,达到总体免杀,只要你学会了这种方法,以后自己做属于自己的DIY免杀鸽子就可以啦!好了废话不多说了,大家就好好看我操作吧!这是我已经生成好的VIP2006服务端,下面我们开始把服务端的需要做免杀的DLL导出来!这就是鸽子VIP2006服务端程序.exe→MAINDLL.dll→GETKEY.dll 大家看到了吧,2006少了一个hook.dll文件。
以前VIP2005里有HOOK。
DLL文件,现在2006里没有拉!这样做免杀就方便了一些!我们先把卡巴病毒库升级到最新的,然后在用卡巴查一下我们需要做免杀的这3个文件。
看到了吧,都被列为黑名单了。
介绍一下卡巴的威力吧,卡巴我个人感觉是现在杀毒软件最牛的啦。
呵呵不做广告啦。
我们先做GETKEY。
DLL也就是键盘记录钩子。
下面看我操作吧,先来一次大定位,第一次先定位5秒1000字节吧,只要是被报毒的,我们就选择。
然后进行第2次定位,5秒32字节,看好我的操作哦,别忘了删掉上次定位的。
好保存结果,然后再来一次详细的8字节定位,这样能提高免杀效率。
OK定位搞顶啦,然后我们去用C32工具来修改特征码可以用大小写修改法,也可以用跳转法,具体用什么,我们先去看看吧。
看到了吧,有字母,那我们就用UE来该大小写字母吧,我们来杀下毒吧,文件不报毒了,看看内存呢,用OLB载入内存。
被杀了,说明定位的还是不够准,那咱在来一次详细准确的4字节定位,呵呵,看来还有个来,继续。
OK最后一次详细定位结果出来啦,我们去保存一下。
我们来分析一下结果吧,第一个大小60吧,下面的都一样吧,那我们就来选择第一个,去修改特征码,用跳转法,看我操作吧,用C32工具,找到0000B1CA大概就是这里拉,大家如果不懂16进制的话,可以找UE 看哦,继续,我们把这段NOP掉,然后去下面找到程序空隙,也就是0000区吧:0000B1CB: 68 E4BE4000 PUSH 40BEE40000B1D0: E8 A7FBFFFF CALL 0000AD7C--------------------------------------------------0000B1D5新入口点 JMP 0000B916 也就是返回上面的意思吧呵呵不好意思这里因该JMP 0000B1D5 OK保存一下,我们来查下毒吧,文件不报警拉,我们内存查杀,因该找到我们刚刚保存的那个DLL,OK内存已经免杀了,我们现在看看导回服务端能不能上线。
电脑中了灰鸽子病毒怎么样查杀
电脑中了灰鸽子病毒怎么样查杀灰鸽子病毒危害甚大,那么我们的电脑中了灰鸽子病毒要怎么样查杀呢?下面由店铺给你做出详细的电脑中了灰鸽子病毒查杀方法介绍!希望对你有帮助!电脑中了灰鸽子病毒查杀方法一:你要是内网的话,装个防火墙就ok了因为内网终端他是不可能入侵到的,除非你随便看些垃圾网页和下载些垃圾软件。
要是外网的话就用x-scan扫描下你机子的漏洞然后把补丁都打上,端口全部关闭,然后防火墙开着,你的电脑就安全了,除非你的是web server那我就没办法了。
电脑中了灰鸽子病毒查杀方法二:灰鸽子病毒是一个未经授权远程访问用户计算机的后门。
以“灰鸽子”变种cm为例,该变种运行后,会自我复制到系统目录下,修改注册表开机自启,侦听黑客指令,记录键击,盗取用户机密信息。
对我们的隐私、健康有巨大影响。
清理方法:打开注册表编辑器(点击“开始”》“运行”,输入“Regedit.exe”,确定。
),打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
点击菜单“编辑”-“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项。
下载,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。
电脑中了灰鸽子病毒查杀方法三:灰鸽子其实就是一种远控程序,会根据制作者意思,生成一个任意名称的文件,然后就利用各种骗术,让您去打开这个文件,一旦打开后就会成为肉鸡,随时被黑客强控其实防治的办法很简单,您可以到腾讯电脑管家官网下载一个电脑管家电脑管家拥有16层实时防护功能,如果您电脑中有类似灰鸽子的文件运行,电脑管家独有云智能预警系统,可以在木马活动早期侦测并阻断木马的破坏行为,通过云查杀技术秒杀最新流行木马相关阅读:灰鸽子病毒机理病毒构成配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。
免杀全教程【请勿用于非法】
木马精华免杀教程教程来自【暗黑网络】暗黑网络技术公会让更多的朋友了解黑客-YY496342本公会采用YY方式是让您更加方便的交流和学习,本公会,免费赠送工具,教程,等一切免费,大量招收导师如果觉得你行那就来试试吧YY496342本公会+此文档只是让大家多一点防范的意识请勿用于非法第一部分:对国内外杀毒软件分析在讲特征码前,先要分析国内外著名杀毒软件的查杀特点。
大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀。
瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。
像强悍的卡巴,金山,等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码.第二部分:木马免杀的对策一.要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则下面的免杀操作就不能进行下去。
二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能达到内存免杀。
二.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用.1>.入口点加1免杀法.2>.变化入口地址免杀法3>.加花指令法免杀法4>.加壳或加伪装壳免杀法.5>.打乱壳的头文件免杀法.6>.修改文件特征码免杀法.第三部分:免杀技术实例演示部分一.入口点加1免杀法:(NC)1.用到工具:PEditor2.特点:非常简单实用,但有时还会被卡巴查杀.3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.二.变化入口地址免杀法:(NC)1.用到工具:OllyDbg,PEditor2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.三.加花指令法免杀法:(Sniff)1.用到工具:OllyDbg,PEditor2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.四.加壳或加伪装壳免杀法:(findpass)1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳.五.打乱壳的头文件免杀法:(nc)1.用到工具:秘密行动,UPX加壳工具.2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.六.修改文件特征码免杀法:1.用到工具:特征码定位器,OllyDbg2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.第四部分:快速定位与修改瑞星内存特征码一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.第五部分:木马免杀综合方案修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳2>变化入口地址免杀法 2>加生僻壳 2>加壳的伪装.3>加花指令法免杀法 3>打乱壳的头文件4>修改文件特征码免杀法注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.第六部分:免杀方案实例演示部分1.完全免杀方案一:(灰鸽子VIP2.0)内存特征码修改+ 加UPX壳+ 秘密行动工具打乱UPX壳的头文件.2.完全免杀方案二:(findpass)内存特征码修改+ 加压缩壳+ 加壳的伪装3.完全免杀方案三:内存特征码修改+ 修改各种杀毒软件的文件特征码+ 加压缩壳4.完全免杀方案四:内存特征码修改+ 加花指令+ 加压缩壳5.完全变态免杀方案五:内存特征码修改+ 加花指令+ 入口点加1 + 加压缩壳UPX + 打乱壳的头文件还有其它免杀方案可根据第五部分任意组合.暗黑网络YY496342。
灰鸽子特征码免杀
灰鸽子特征码免杀MYCCL复合特征码定位器及其使用教程2009-10-14 04:00 A.M.MYCCL复合特征码定位器及其使用教程——原始软件附带说明复合特征码辅助定位工具MyCCL by:Ta nkni ght]]刖言[[自从CCL问世以来,特征码修改已经成为了对付杀毒软件的常用手法,但是所谓魔高一尺,道高一丈杀毒软件开始使用多重复合特征码来对付特征码修改就是说只有你同时改掉程序所有的守护特征码此程序才不被杀。
所以本程序的作用是进行多重特征码的定位,并实现自动化。
]]使用篇[[载入程序,然后分块写10(刚开始应先少数量划分,先确定大范围)。
起使位置最好写代码段code,或者txt然后程序会把代码段分成10块,然后从第1块开始恢复,并生成文件。
生成完毕后,用杀毒软件查杀生成文件的目录清除所有带毒文件(如果杀毒软件是按顺序杀毒的话,可以在杀掉第一个文件的时候就停止杀毒,此时特征码已经找到)。
然后点击[二次处理]程序会自动记录第几个文件开始查到毒了,那个就是第1个特征码。
程序会把有特征码的地方添0并记录在右面,然后把后面的文件分10块开始从头恢复。
这样不断进行(反复使用[二次处理]和杀毒)守护特征的大范围就找出了并记录在右面。
因为分为10块所以每块都比较大,这时候需要进行精确。
在右面点第1个特征码选择精确此特征码然后此处就会被写入分析器里。
分块可以写大一点比如100这样多次进行精确特征码的范围就出来了。
关于内存复合特征码定位原理和文件定位是相同的,只是用程序把生成的文件全部装载到内存中去了,然后用杀毒软件对内存进行查杀。
找到报毒的文件,然后手工删除或者在特征码设置中手动添加即刻。
其余操作和文件定位相同。
]]致谢[[MyCCL不是突然冒出来的,都是有了前辈们的摸索才会有不断的进步。
在此感谢制作CCL的作者,以及提出定位特征码概念的作者。
在程序编写中,各位网友也给了很大的帮助。
主动帮忙测试Bug和提出意见和改进之处。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
这次给大家做一个过各种杀毒软件的免杀教程。
这次教程主要以灰鸽子VIP2006服务端为例!现在网上很多免杀教程,我也看过很多,但是免杀效果都不是很好,用不几天就被杀了,所以真正免杀的鸽子,还是修改杀毒软件的特征码。
这样免杀效果才更好,能达到长期免杀。
今天这节课主要给大家讲过卡巴内存免杀和外表免杀,达到总体免杀,只要你学会了这种方法,以后自己做属于自己的DIY免杀鸽子就可以啦!好了废话不多说了,大家就好好看我操作吧!这是我已经生成好的VIP2006服务端,下面我们开始把服务端的需要做免杀的DLL
导出来!
这就是鸽子VIP2006服务端程序.exe→MAINDLL.dll→GETKEY.dll大家看到了吧,2006少了一个hook.dll文件。
以前VIP2005里有HOOK。
DLL文件,现在2006里没有拉!这样做免杀就方便了一些!我们先把卡巴病毒库升级到最新的,然后在用卡巴查一下我们需要做免杀的这3个文件。
看到了吧,都被列为黑名单了。
介绍一下卡巴的威力吧,卡巴我个人感觉是现在杀毒软件最牛的啦。
呵呵不做广告啦。
我们先做GETKEY。
DLL也就是键盘记录钩子。
下面看我操作吧,先来一次大定位,第一次先定位5秒1000字节吧,只要是被报毒的,我们就选择。
然后进行第2次定位,5秒32字节,看好我的操作哦,别忘了删掉上次定位的。
好保存结果,然后再来一次详细的8字节定位,这样能提高免杀效率。
OK定位搞顶啦,然后我们去用C32工具来修改特征码可以用大小写修改法,也可以用跳转法,具体用什么,我们先去看看吧。
看到了吧,有字母,那我们就用UE来该大小写字母吧,我们来杀下毒吧,文件不报毒了,看看内存呢,用OLB载入内存。
被杀了,说明定位的还是不够准,那咱在来一次详细准确的4字节定位,呵呵,看来还有个来,继续。
OK最后一次详细定位结果出来啦,我们去保存一下。
我们来分析一下结果吧,第一个大小60吧,下面的都一样吧,那我们就来选择第一个,去修改特征码,用跳转法,看我操作吧,用C32工具,找到0000B1CA 大概就是这里拉,大家如果不懂16进制的话,可以找UE看哦,继续,我们把这段NOP掉,然后去下面找到程序空隙,也就是0000区吧:
0000B1CB: 68 E4BE4000 PUSH 40BEE4
0000B1D0: E8 A7FBFFFF CALL 0000AD7C
--------------------------------------------------0000B1D5
新入口点 JMP 0000B916 也就是返回上面的意思吧呵呵不好意思这里因该JMP 0000B1D5 OK保存一下,我们来查下毒吧,文件不报警拉,我们内存查杀,因该找到我们刚刚保存的那个DLL,OK内存已经免杀了,我们现在看看导回服务端能不能上线。
把备份的删掉就可以了啦,现在我们传到空间上去,然后用虚拟即运行,我们改成keymiansha.exe传到空间吧,打开虚拟主机,上传完毕啦,等一下哦,虚拟机启动慢你可以快进一下观看。
打开鸽子VIP2006等待上线,刚刚上线的这些不是哦,我专门的分组拉,等一等哦,先喝杯咖啡吧,呵呵。
好拉,我们进去下载刚刚上传的KEY免杀服务端吧。
因为上次做实验吧,还忘了卸载看好拉,我把他
卸掉。
OK,哈哈上线拉,我们看看功能吧。
功能都可以,好啦,我们卸掉它吧。
KEYDLL免杀到次结束,下面将MAINDLL.DLL免杀!
现在我们该给MAINDLL.DLL做免杀了,我们先来给他做文件免杀,如果文件免杀完成,我们再载入OLB内存中,用卡巴查杀,如果能不被杀,那说明卡巴的文件病毒特征码就和文件一样大,好我们还是来定位MAINDLL。
DLL吧。
先来一次大定位,下面看我操作吧,不打字拉,看我调CCL哦,第一次文件定位,我们以生成500替换1000字节。
因为MAINDLL.DLL文件600多K吧,为了节省时间,我们就定位大一点,好拉定位完成,我们来杀毒。
大家可以快进一下,因为杀毒有点慢,继续第2论定位,再来一次8字节定位。
刚才的32字节还没杀毒呢,继续杀毒,好结果终于出来拉,我们用C32来搞跳转法。
找这个000852D0,呵呵不好意思哈打错拉,因该打开这个哦,找到啦,我们去下面找空隙:
000852CE: 8B55 F8 MOV EDX, [DWORD SS:EBP-8]
000852D1: 8B45 FC MOV EAX, [DWORD SS:EBP-4]
000852D4: E8 03FBFFFF CALL 00084DDC
-------------------------------------------------------JMP 000852D9
新入口点 00085C10 跳转法完毕,我们保存一下,查毒,文件查杀已经过拉,我们来内存查杀。
哈哈内存也过拉,现在我们要导回服务端,,,看看能不能上线。
还是传到我地空间,然后上虚拟主机试验。
呵呵捎等一下,有时候就这样,OK上来拉,速度有点慢哦,耐心等一下吧,虚拟主机慢啊,,,大家可以快进一下哦。
下面做的就是测试能不能上线拉,把鸽子VIP2006打开,等待上线。
消失了,看看能上线吧?OK可以上线,到此结束,下面讲服务端免杀。
上面已经完成服务端内核了,这里主要给大家做服务端的免杀!OK。
废话少说,我们来做服务端免杀。
先把上节课做的免杀的MAINDLL.DLL导入没有做免杀的服务端里,大家看我来演示。
我们先来一次大提定位吧,更新下病毒库,再准确的来一次定位,看到了吧,还有2组,我们再来一次8字节定位,我们来修改0000BBB5这段中的8个字节。
有RETN的地方我们就不修改,把复制的这段NOP掉,然后去下面找程序空隙,OK汇编完成,保存一下。
0000BBB8: 57 PUSH EDI
0000BBB9: 696E 5F 39780000 IMUL EBP,[ESI+5F],7839
0000BBC0: 53 PUSH EBX
0000BBC1: 6F OUTS DX,DWORD PTR ES:[EDI]
--------------------------------------------------0000BBC2
新如口点0000C1DE
用卡巴查杀一下,看看,呵呵看到了吧,不报毒了,我们再内存查杀一下,看看,有点卡,耐心等待一下哦。
看到了吧,内存也不报毒了,下面我们到虚拟主机上测试一下看看能不能上线,先把做好的免杀服务端传到我的空间上去。
去虚拟主机,启动有点慢。
去打开鸽子VIP2006等待上线哦,看看好了吧,消失了吧,看看虚拟主机的名字,DATOU,我们去看看鸽子上线了吧?OK。
可以啦,现在可以在卡巴的眼皮下运行了,本教程到此结束,关于卡巴的终极免杀技术就到此吧,希望大家能学会。
本文章只为学习,请勿做违法的事哦。