灰鸽子免杀原理免杀技术

合集下载

灰鸽子原理及上线方法剖析

原创作者ｕｎｉｓ远程控制分类与远程协助区别远程控制技术是黑客必学的技术之一。

远程控制不同于远程协助，两者之间有很大的区别，所谓远程协助需要经过被控端的授权允许，并且被控端可以看到控制者的所有操作，使之控制操作透明性；例如我们的QQ远程协助，就需要对方的允许控制进行操作，并且对方也能够看到我们的操作动作，远程协助一般是用来进行远程的计算机操作协助。

远程控制则不一样，远程控制只要在被控者电脑安装一个服务端，即可在不知情的情况下进行控制对方计算机以及对计算机其它操作，控制时不需要经过对方的许可就可以控制，而控制时操作的一些动作，对方也无法察觉到（除鼠标控制）。

远程控制按控制类型可以分类为：（1）正向主动型远程控制（2）反向被动型。

什么是正向主动型的呢？正向主动型是需要控制着主动去连接被控端，一般情况下，控制者必须知道需要被控制者的IP和端口，然后通过某种软件来进行控制被控者，例如微软的3389远程桌面、Radmin远程控制、VNC远程控制都需要知道对方的IP（端口）然后通过客户端软件进行连接对方。

反向被动型控制又可以称为反弹性控制技术，指的是在被控端下安装服务端之后，由被控端主动来寻找你的客户端监听端口软件连接来进行控制，这个好处就是不需要知道对方的IP地址和端口，被控端会自己主动来找我们的监听地址和端口，当我们发现被控端已经找到我们的监听地址和端口，我们就可以控制对方电脑，这样省去要知道对方的IP和端口的麻烦了，特别是对方是动态IP的时候。

反向被动型远控在黑客界已经是主流了，黑客专门使用某些控制软件在控制对方，反弹型远控软件更是数不胜数，例如：花鸽子（灰鸽子）、白金、终结者、Ghost 等等。

远程控制软件的功能与远控木马的特性我们这里主要讲解的是反弹型远控，并且也有讲解到Web型的正向型远控，正向型远控还有Radmin、3389远程桌面也可以值得大家去学习，关于Radmin远控的可以参考我之前写的《深度研究Radmin远控》。

灰鸽子病毒检测及清除的手段方法

4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。
[img][/img]
经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了，下面就可以进行手动清除。
2000／XP系统：
1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services注册表项。
2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。
灰鸽子病毒是一个免杀的远程控制软件，但是作为病毒使用也很方便
一、灰鸽子病毒详细简介
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。
1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

灰鸽子实验

灰鸽子远控软件使用实验
“灰鸽子”是现在网络上非常流行的一种木马，由两部分组成，一是控制端（主程序），一是服务端（也叫受控端）。

任一部分都会被主流的杀毒软件查杀，但随着其不断衍生新的变种和一些免杀技巧经常绕过一些主动防御软件，使得用户防不胜防。

灰鸽子客户端和服务端都是采用Delphi编写。

黑客利用客户端程序配置出服务端程序。

可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

“灰鸽子”的服务端是由控制端主程序配置自动生成，黑客在配置自动上线的时候一般会用到ftp自动上线和动态域名解析两种手法，目的是让鸽子以后每天都会自动上线，而不受自身IP改变的影响。

当配置好服务端后，黑客会利用一切可能的手段达到入侵的目的，当用户电脑“中马”后，黑客就会拥有用户电脑的最高管理权限，包括随意修改、窃取用户电脑的文件，监控电脑的键盘和屏幕、摄像头等等。

在主控端生成灰鸽子木马
把灰鸽子生成的服务端拷贝到受控端
对受控端进行一系列的操作对受控端进行监控
屏幕监控
系统信息
文件下载
实验总结
在日常生活中一些不法分子会利用一些邮件、网站的连接放置木病毒，所以在看到一些可疑的连接不要轻易去点击，一旦点击便会中木马病毒。

因此遇到一些不明的连接的情况下，一定要警惕，不要轻易点击陌生的连接。

免杀全教程【请勿用于非法】

木马精华免杀教程教程来自【暗黑网络】暗黑网络技术公会让更多的朋友了解黑客-YY496342本公会采用YY方式是让您更加方便的交流和学习，本公会，免费赠送工具，教程，等一切免费，大量招收导师如果觉得你行那就来试试吧YY496342本公会+此文档只是让大家多一点防范的意识请勿用于非法第一部分：对国内外杀毒软件分析在讲特征码前，先要分析国内外著名杀毒软件的查杀特点。

大家在使用木马过程都会发现，内存查杀，一般都指得被瑞星的内存查杀。

瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。

像强悍的卡巴，金山，等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码.第二部分：木马免杀的对策一.要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则下面的免杀操作就不能进行下去。

二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀，要进行内存特征码的定位和修改，才能达到内存免杀。

二.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用.1>.入口点加1免杀法.2>.变化入口地址免杀法3>.加花指令法免杀法4>.加壳或加伪装壳免杀法.5>.打乱壳的头文件免杀法.6>.修改文件特征码免杀法.第三部分:免杀技术实例演示部分一.入口点加1免杀法:(NC)1.用到工具:PEditor2.特点:非常简单实用,但有时还会被卡巴查杀.3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.二.变化入口地址免杀法:(NC)1.用到工具:OllyDbg,PEditor2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.三.加花指令法免杀法:(Sniff)1.用到工具:OllyDbg,PEditor2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.四.加壳或加伪装壳免杀法:(findpass)1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳.五.打乱壳的头文件免杀法:(nc)1.用到工具:秘密行动,UPX加壳工具.2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.六.修改文件特征码免杀法:1.用到工具:特征码定位器,OllyDbg2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.第四部分:快速定位与修改瑞星内存特征码一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.第五部分:木马免杀综合方案修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳2>变化入口地址免杀法 2>加生僻壳 2>加壳的伪装.3>加花指令法免杀法 3>打乱壳的头文件4>修改文件特征码免杀法注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.第六部分:免杀方案实例演示部分1.完全免杀方案一:(灰鸽子VIP2.0)内存特征码修改+ 加UPX壳+ 秘密行动工具打乱UPX壳的头文件.2.完全免杀方案二:(findpass)内存特征码修改+ 加压缩壳+ 加壳的伪装3.完全免杀方案三:内存特征码修改+ 修改各种杀毒软件的文件特征码+ 加压缩壳4.完全免杀方案四:内存特征码修改+ 加花指令+ 加压缩壳5.完全变态免杀方案五:内存特征码修改+ 加花指令+ 入口点加1 + 加压缩壳UPX + 打乱壳的头文件还有其它免杀方案可根据第五部分任意组合.暗黑网络YY496342。

反病毒专家教你六大绝技彻底防范灰鸽子

反病毒专家教你六大绝技彻底防范灰鸽子严循东 2007年3月28日曾经有一个网游爱好者这样形容网络游戏，“网络游戏更像是一场战争，一场玩家与盗号者之间的战争。

”由此可见，盗号已经成为网游世界中，令玩家们深恶痛绝的顽疾。

那么面对以灰鸽子为首的盗号木马，作为网络游戏玩家的你，该如何保护自己的帐号密码完好无损，不被窃取呢？首先，要给自己的电脑做一次“体检”。

因为灰鸽子木马的隐蔽性很强，入侵后根本毫无察觉，通过“体检”，检查一下自己的系统是否已经感染灰鸽子。

“体检”工具就用免费的灰鸽子木马专杀，比如金山毒霸灰鸽子专杀等。

其次，安装正版杀毒软件，保持实时监控的可靠运行，注意及时更新。

灰鸽子的变种非常多，每天都将有不同的变种出现，如果不能及时升级，杀毒软件很难具备对灰鸽子木马新变种的拦截能力。

此外，灰鸽子有个非常“厉害”的特点，黑客可以在远程将控制的所有肉鸡升级到最新版本。

新版本就是专门针对杀毒软件而进行了技术处理的版本，避免被最新的杀毒软件检测到。

因此除了技术手段防范灰鸽子之外，为了捍卫自己的网络资产，玩家还需要从以下几个方面提高警惕：1.注意升级系统补丁，可以用windows update或金山漏洞修复2007来检查修复系统漏洞。

3.游戏玩家的电脑一般在线时间比较长，要特别留意电脑无人值守时的安全问题。

最好把含有隐私信息的数据加密处理。

4.在电脑处于开启状态时，如果不使用摄像头，最好拔掉摄像头，避免被人偷窥。

5.网游玩家通常能熟练的使用线上交易，比如支付宝，网上银行等等。

强烈建议使用专业版移动证书型网上银行，完成支付立即拔掉证书，避免被人远程控制电脑支取。

[专题]“灰鸽子”病毒代码的特点和关键技术解析

“灰鸽子”病毒代码的特点和关键技术解析一、“灰鸽子”病毒概述灰鸽子是国内一款著名后门，比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。

其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。

客户端简易便捷的操作使刚入门的初学者都能充当黑客。

灰鸽子客户端和服务端都是采用Delphi编写，黑客利用客户端程序配置出服务端程序。

服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。

灰鸽子英文名为W in32.Hack.Huigez，这个木马黑客工具大致于2001年出现在互联网，当时被判定为高危木马。

灰鸽子病毒危害程度非常大，是熊猫烧香的10倍以上，灰鸽子病毒集中爆发，据推算，有2000万台电脑可能被控制，而黑客随之买卖控制权，月入上万元。

经过其作者不懈努力，该病毒从2004年起连续五年荣登国内10大病毒排行榜，至今已经衍生出超过10万个变种。

二、“灰鸽子”的关键技术1.植入技术灰鸽子植入是灰鸽子攻击目标系统最关键的一步，是后续攻击活动的基础。

当前，灰鸽子的植入方法可以分为两大类，即被动植入和主动植入。

被动植入是指通过人工干预方式才能将灰鸽子程序安装到目标系统中，植入过程必须依赖于受害用户的手工操作；而主动植入则是指主动攻击方法，是将灰鸽子程序通过程序自动安装到目标系统中，植入过程无需受害用户的操作。

被动植入主要通过社会工程方法将灰鸽子程序伪装成合法的，以达到降低受害用户警觉性,诱骗用户的目的。

2.隐藏技术灰鸽子设计者为了能逃避安全检测,就要设法隐藏灰鸽子的行为或痕迹，其主要技术目标就是将灰鸽子的本地活动行为、灰鸽子远程通信过程进行隐藏。

2.1本地行为活动隐藏现在的操作系统支持LKM (Loadable KernelModules)功能，通过LKM可增加系统功能，而且不需要重新编译内核，就可以动态地加载，如Linux, Solaris和FreeBSD都支持LKM。

为什么要学习【免杀技术】？

【精通“免杀”】—课程介绍：（超过5G）为什么要学习“免杀”技术？一位不愿意透露姓名的资深Hacker，向记者介绍了最为流行的“病毒免杀”技术。

“免杀”，顾名思义，就是逃避杀毒软件的查杀。

目前，各种【杀毒软件】已经把常用的【黑客检测工具】和【远程控制程序】作为重点查杀对象。

如不学“免杀”，无法学习黑客攻防技术，以后将寸步难行。

想在Hacker攻防领域有所作为。

【免杀】是必修课程。

当今，用得较多的【免杀方法】有：1、加壳；2、修改特征码；3、加花指令三种。

通常Hacker们会针对不同的情况来运用不同的免杀方法。

如果没有“免杀”，那么所有的【远程控制】等工具，不管是灰鸽子还是asp等脚本的shell，都会被<杀毒软件>杀掉。

你的前期工作就白费了时间。

卡在了成功的最后一步上。

通过本课程学习，你将在“免杀”领域拥有自己“一席之地”！………【初级篇】概要：（“初级”篇课程共25课）1、软件免杀技术的概述和相关工具的介绍及汇编指令的【全方位】渗透。

2、免杀环境的搭建全方位讲解及免杀中不可缺少的花指令含义全方位学习。

3、Myccl定位【文件特征码】、【内存特征码】、【主动防御特征码】的介绍。

4、特征码的“定位”与“原理”及修改方法躲避对程序的扫描及主动防御。

5、什么是“壳”以及【常见壳】的介绍及实战修改“加壳程序”实现免杀。

6、C32修改特征集合的方法及【OllyDbg】修改特征集合和【通用跳转法】。

7、免杀之输入表函数“移位法”免杀、输入表函数“指针修改法”、输入表“重建”免杀法。

………….【中级篇】概要：（“中级”篇课程共40课）1、实例定位导出dll类远控服务端【特征码】及运用【Multiccl】实例定位特征码。

2、“全项工具”组合达到【免杀】及文件免杀和查杀、内存的免杀和查杀。

3、【Vmprotect】程序自动修改特征进行免杀及免杀中灵活运用花指令思路。

4、Vmprotect V1.21加密“特征码”实时演示；Vmprotect虚拟机保护详细操作；5、修改PE头方法试“挑战”过【360安全卫士】实时监控、卡巴斯基表面和主动防御；6、再谈花指令总结；花指令应用空段加花、花指令应用加区加花、自定义花指令；花指令应用工具加花、【脚本加解密】篇：脚本另类加解密、Escape&Encode加解密；7、ResScope资源修改&FixRes资源修复深入分析构思；8、Time和SEH异常应用攻破：卡巴主动防御、瑞星表面和主动防御、NOD32表面；……….【高级篇】（课程共50课）——（只例举小部分）第一课：深度打造“永不查杀的捆绑器”！【让捆绑无忧】第二课：文件表面定位方法汇总、文件内存定位方法汇总、详解输出表免杀方法汇总；第三课：免杀中PE结构“最终异化”各种技巧(上)、（下）小结；第四课：PC最终级免杀DLL和EXE及SYS，过NOD32；过卡巴表面加主动防御；第五课：再次“另类”修改PE头方法“挑战”过【360安全卫士】实时监控第五课：详细讲解NOD32“特征码”转换器并演示；第六课：【上兴】另类修改特征码过“瑞星”表面和内存演示；转实战咔吧6.0和7.0；第七课：特殊位置“特征码”修改方法及“对抗法”，“拆办法”脚本特征码定位详解；第八课：极速破解“威金下载者”生成器，修改为我所用。

任务2 木马免杀

第二章任务2 木马免杀2.1 木马免杀概述免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），逐字翻译为“反-反病毒”，我们可以翻译为“反杀毒技术”。

木马免杀可以将其看为一种能使木马避免被杀毒软件查杀的技术。

木马免杀技术的涉猎面非常广，涉及反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术。

2.2 木马免杀原理(1) 杀毒原理当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法两种。

特征码就是能识别一个程序是病毒的一段不大于64字节的特征串。

特征码定位法分为文件查杀和内存查杀，杀毒软件公司拿到病毒的样本以后，定义一段病毒特征码到病毒库中，然后与扫描的文件比对，如果一致则认为是病毒。

内存查杀则是载入内存后再比对。

行为检测法是新出现的一种定义病毒的方法，它利用的原理是某些特定的病毒会有某些特定的行为来做出是否为病毒的判断。

(2) 木马免杀原理免杀在某种程度上可以说是杀毒软件的对立面。

杀毒软件通过特征码查杀病毒，相应的，通过修改特征码的方法来实现木马免杀。

特征码修改方法：方法一：直接修改特征码的十六进制法●修改方法：把特征码所对应的十六进制改成数字差1或差不多的十六进制。

●适用范围：一定要精确定位特征码所对应的十六进制，修改后一定要测试一下文件能否正常使用。

方法二：修改字符串大小写法●修改方法：如果特征码所对应的内容是字符串，只要把大小字互换一下就可以了。

●适用范围：特征码所对应的内容必须是字符串，否则不能成功。

方法三：等价替换法●修改方法：把特征码所对应的汇编指令，替换成功能类似的指令。

●适用范围：特征码中必须有可以替换的汇编指令，比如JE，JNE 换成JMP等。

方法四：指令顺序调换法●修改方法：把具有特征码的代码顺序互换一下。

●适用范围：具有一定的局限性，代码互换后必须不能影响程序的正常执行。

方法五：通用跳转法●修改方法：把特征码移到零区域（指代码的空隙处）执行后，使用JMP指令无条件调回原代码处继续执行下一条指令。

灰鸽子免杀教程

绝技三:如何快速躲过诺顿的查杀
诺顿的查杀特点:大家有时候会发现,通过改特征码,加花指令,改内存特征码,等等,卡巴,江民,金山,瑞星都过了,但无论如何都过不了诺顿,这时候是不是感到很纳闷.其实诺顿特征码的定义和其它杀毒软件不一样,其它杀毒软件的特征码都在代码段而只有它把特征码定义在PE头文件里面.而在头文件里面,一般都用字符串作为病
绝技四:一个不太通用的免杀方法
免杀方法一:把入口点第三句开始的几行(20字节内)汇编代码移到零区域去执行,也达到一定的免杀花指令后入口点下移法
操作过程:加花指令后,可以把入口点下移好一位,这样可以进一步达到免杀效果.
一.木马免杀综合方案
本文由365900063贡献
绝技一：快速搞定瑞星文件查杀
操作步骤：
第一步：用OD载入，来到程序的入口点。
第二步：把入口点的第一句PUSH EBP 改成POP EBP 然后保存就可以躲过瑞星的表面查杀。
绝技二：快速定位与修改瑞星内存特征码
原理：因为目前的内存查杀杀毒软件，只有瑞星才能威胁到我们的木马。也就是说只要搞定瑞星的内存查杀，那我们的木马在内存就畅通无阻了. 但由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,
毒特征码,知道了原理,就有下面的二种方法来应付.
方法一:只要把头文件的字符串的大小字互换一下就可以搞定了.
方法二:有二款压缩软件WinUpack和北斗星,经过他们的压缩,会把我们的木马程序的头文件改的面目全非.所以把我们的木马做好其它的杀毒软件的免杀后,再用这二款压缩软件的压缩就可以躲过诺顿的查杀.
修改内存特征码>1>入口点加1免杀法 1>加压缩壳1>>再加壳或多重加壳

灰鸽子原理及技术分析

一禁用系统恢复使用组策略编辑器1. 单击开始，单击运行，键入gpedit.msc，然后单击确定。

2. 展开“计算机配置”，展开“管理模板”，展开“系统”，然后单击系统恢复。

3. 双击“关闭系统恢复”，然后在设置选项卡上，选择禁用。

4. 双击“关闭配置”，然后在设置选项卡上，选择启用。

有关这些设置的作用的详细信息，请在单击属性对话框上的解释选项卡。

5. 单击应用，然后单击确定。

二升级病毒定义库Symantec 可LIVEUPDA TE,NORTON也能吧三在安全模式扫描,并删除感染文件操作后可离开安全模式,跳到四四删除注册表键值Symantec强烈建译备份注册表.click 开始>运行-- 输入regedit,确定后进入HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Connection Wizard删除右侧值: "Compleated" = "1"再进入,删除下列键(key)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeonServerHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER离开注册表编辑器五查找并停止服务click 开始>运行-- 输入services.msc,确定后进入定位并选择探测到的Trojan.Feutel服务点吉动作(Action)>属性(Properties),点吉停止改变启动类型为手动点吉确定,关闭服务窗口重启XfeliX关于Trojan.Feutel(灰鸽子)病毒无法清除的解决办法前段时间浏览网页的时候，杀毒软件报告发现病毒Trojan.Feutel，病毒位于c:\windiwos，文件名称为G_Server.exe、G_Server.dll和G_Server_Hook.dll，而且杀毒软件无法清除，感觉应该是中了恶意代码（木马）。

灰鸽子木马原理

灰鸽子木马原理
灰鸽子木马原理
灰鸽子木马是一种常见的网络攻击手段，它的原理是通过植入恶意代码，控制被攻击计算机的行为，从而达到攻击者的目的。

下面将详细
介绍灰鸽子木马的原理。

1. 植入恶意代码
灰鸽子木马的第一步是植入恶意代码。

攻击者可以通过各种方式将恶
意代码植入到目标计算机中，比如通过电子邮件、网络钓鱼等方式。

一旦恶意代码被植入到计算机中，它就会开始执行攻击者的指令。

2. 控制被攻击计算机
一旦恶意代码被植入到计算机中，攻击者就可以通过远程控制的方式
控制被攻击计算机的行为。

攻击者可以利用被攻击计算机的资源，比
如计算能力、存储空间等，进行各种恶意活动，比如发起DDoS攻击、窃取敏感信息等。

3. 隐藏行踪
为了避免被发现，攻击者通常会采取一些措施来隐藏自己的行踪。

比如，他们可能会使用代理服务器或虚拟专用网络（VPN）来隐藏自己的IP地址，或者使用加密技术来保护通信内容，使其难以被监测和识别。

总之，灰鸽子木马是一种非常危险的网络攻击手段，它可以给受害者带来严重的损失。

为了保护自己的计算机安全，我们应该时刻保持警惕，不要轻易打开来路不明的邮件和链接，同时也要安装好杀毒软件和防火墙，及时更新系统和软件补丁，以提高自己的计算机安全防护能力。

灰鸽子木马原理

灰鸽子木马原理灰鸽子木马是一种具有高度隐蔽性和破坏力的恶意软件，其原理基于社会工程学和网络攻击技术。

它通过诱骗用户点击伪装成正常文件或链接的恶意程序，从而实现对目标系统的入侵和控制。

本文将详细介绍灰鸽子木马的原理及其对网络安全的威胁。

一、灰鸽子木马的传播方式灰鸽子木马传播的主要方式是通过电子邮件、社交媒体、P2P软件等渠道传播。

攻击者会利用社会工程学手段，伪装成可信的来源，诱使用户点击恶意链接或下载恶意附件。

一旦用户受骗，恶意软件便会悄无声息地运行在用户的计算机上。

二、灰鸽子木马的工作原理灰鸽子木马的工作原理可以分为三个主要阶段：潜伏、入侵和控制。

1. 潜伏阶段：灰鸽子木马首先潜伏在目标系统中，它会自动在系统中创建隐藏的文件和注册表项，以保证自身的持久性。

在这个阶段，灰鸽子木马会尽可能地隐藏自己，避免被用户或防病毒软件发现。

2. 入侵阶段：一旦潜伏成功，灰鸽子木马将利用漏洞或弱密码等方式入侵目标系统。

它会通过网络传输协议与控制服务器建立连接，获取控制指令并执行。

攻击者可以通过灰鸽子木马远程控制目标系统，窃取敏感信息或进行其他恶意活动。

3. 控制阶段：在控制阶段，攻击者可以远程操控被感染的系统，执行各种指令。

他们可以窃取用户的个人信息、银行账户密码等敏感数据，也可以利用被感染的计算机进行DDoS攻击、发送垃圾邮件等恶意行为。

三、灰鸽子木马对网络安全的威胁灰鸽子木马作为一种高级威胁，给网络安全带来严重威胁。

1. 用户隐私泄露：灰鸽子木马可以窃取用户的个人信息、登录凭证、银行卡信息等敏感数据，从而导致用户隐私泄露和财产损失。

2. 网络攻击：攻击者可以通过灰鸽子木马远程控制目标系统，将其作为攻击平台，发起DDoS攻击、扫描其他目标等，对网络安全造成重大影响。

3. 信息窃取和利益盗窃：灰鸽子木马可以窃取企业的商业机密、研发数据等重要信息，给企业带来巨大经济损失。

四、如何保护自己免受灰鸽子木马的侵害为了保护自己的计算机和网络安全，我们可以采取以下措施：1. 慎重点击链接和下载附件：不要随意点击邮件中的链接或下载附件，尤其是来自不明或可疑来源的邮件。

灰鸽子特征码免杀

灰鸽子特征码免杀MYCCL复合特征码定位器及其使用教程2009-10-14 04:00 A.M.MYCCL复合特征码定位器及其使用教程——原始软件附带说明复合特征码辅助定位工具MyCCL by:Ta nkni ght］］刖言［［自从CCL问世以来，特征码修改已经成为了对付杀毒软件的常用手法，但是所谓魔高一尺，道高一丈杀毒软件开始使用多重复合特征码来对付特征码修改就是说只有你同时改掉程序所有的守护特征码此程序才不被杀。

所以本程序的作用是进行多重特征码的定位，并实现自动化。

］］使用篇［［载入程序，然后分块写10（刚开始应先少数量划分，先确定大范围）。

起使位置最好写代码段code,或者txt然后程序会把代码段分成10块，然后从第1块开始恢复，并生成文件。

生成完毕后，用杀毒软件查杀生成文件的目录清除所有带毒文件（如果杀毒软件是按顺序杀毒的话，可以在杀掉第一个文件的时候就停止杀毒，此时特征码已经找到）。

然后点击［二次处理］程序会自动记录第几个文件开始查到毒了，那个就是第1个特征码。

程序会把有特征码的地方添0并记录在右面，然后把后面的文件分10块开始从头恢复。

这样不断进行（反复使用［二次处理］和杀毒）守护特征的大范围就找出了并记录在右面。

因为分为10块所以每块都比较大，这时候需要进行精确。

在右面点第1个特征码选择精确此特征码然后此处就会被写入分析器里。

分块可以写大一点比如100这样多次进行精确特征码的范围就出来了。

关于内存复合特征码定位原理和文件定位是相同的，只是用程序把生成的文件全部装载到内存中去了，然后用杀毒软件对内存进行查杀。

找到报毒的文件，然后手工删除或者在特征码设置中手动添加即刻。

其余操作和文件定位相同。

］］致谢［［MyCCL不是突然冒出来的，都是有了前辈们的摸索才会有不断的进步。

在此感谢制作CCL的作者，以及提出定位特征码概念的作者。

在程序编写中，各位网友也给了很大的帮助。

主动帮忙测试Bug和提出意见和改进之处。

(完整)免杀全教程【请勿用于非法】

大家在使用木马过程都会发现，内存查杀，一般都指得被瑞星的内存查杀。

瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。

免杀技术

源码配和无特征免杀

课程目录
免杀技术概述免杀技术方法总结
总结
通过我们以上的课程会学习到基础的免杀，但是随着杀毒软件的更新我们会遇到更多新的技术挑战，免杀是分析各种恶意软件和各种安全威胁的一种指导方法，我们在学习免杀技术的同时，还要从防御多角度揭制免杀技术的具体方法策略，除了杀毒软件的主动防御以外。还有云上传查杀，就算我们的木马过了杀毒软件，你会发现还有域名拦截，是以主动拦截可疑上线方式的主动防御，还有网盾等等，那么我们需要更多的学习和了解加密和主动行为技术，更好的学习免杀。
免杀技术
课程简介
本课程主要讲解了免杀技术的几种方法和常见使用手段，以及远程控制软件和免杀结合在一起的概念，理解并学习免杀技术。
课程目录
免杀技术概述免杀技术方法总结
免杀技术概述
免杀的定义免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），逐字翻译为“反-反病毒”，翻译为“反杀毒技术”。
免杀技术方法
修改特征码的常见技巧等价替换法

当你定位出了杀毒软件的特征码的时候，你就要学会去修改，今天我们来简单的说一下如何修改特征码的等价替换免杀方式，列如test eax,eax我们就可以改成and eax，eax、sub eax,1 我们可以改成add eax，-1。跳转法有很多比如杀在了一段代码上，我们可以把那段代码填充，然后在OD里面再找一段空白的地方，把原来的那么短代码填充并且使用jmp指令跳转到那段空白的地方，把杀毒杀的那段代码复制到空白处，在最下面在用jmp、call等指令都可以再跳转回去就可以了。当定位出特征码后直接在C32下右键然后填充00即可

灰鸽子木马原理

灰鸽子木马原理一、什么是灰鸽子木马灰鸽子木马是一种具有高度隐蔽性和持久性的远程控制软件。

它通常通过钓鱼邮件、恶意下载和网络漏洞利用等方式传播，目的是植入受害者计算机系统，并使黑客能够远程控制和监控计算机。

灰鸽子木马得名于它使用灰鸽子作为其标志性图标。

二、灰鸽子木马的传播方式1.钓鱼邮件：黑客通过发送看似合法和诱人的邮件，含有携带灰鸽子木马的附件或恶意链接。

当受害者打开附件或点击链接时，木马会悄悄地进入系统。

2.恶意下载：黑客会在一些不安全的网站上发布包含恶意代码的软件或文件。

当用户在这些网站上下载并安装软件时，木马就会感染受害者的计算机系统。

3.网络漏洞利用：黑客会利用已知的系统漏洞来传播灰鸽子木马。

他们通过扫描网络，寻找可利用的漏洞，并通过这些漏洞远程感染受害者的计算机。

三、灰鸽子木马的工作原理灰鸽子木马主要包括三个核心部分：客户端程序、服务器端程序和控制面板。

1.客户端程序：客户端程序是指感染了受害者计算机的木马程序。

一旦成功感染，客户端程序便开始在计算机中植入和运行。

它通过窃取敏感信息或监控用户行为来完成黑客的意图。

2.服务器端程序：服务器端程序是黑客控制灰鸽子木马的中央管理系统。

黑客使用服务器端程序来监控和控制感染了客户端程序的计算机。

3.控制面板：控制面板是黑客使用的用户界面，它允许黑客查看和操纵感染了灰鸽子木马的客户端计算机。

通过控制面板，黑客可以发送指令、收集信息和执行各种操作。

灰鸽子木马主要通过以下方式实现远程操控和监控：1.启动自动运行：灰鸽子木马会在感染计算机时添加自启动项，确保在计算机启动时自动运行，以保持持久性。

2.反向连接：客户端程序会与服务器端程序建立一个隐藏的反向连接，使黑客能够远程访问受感染计算机的指令和数据。

3.远程执行命令：黑客可以通过控制面板发送指令给感染了灰鸽子木马的客户端计算机，实现远程执行命令。

4.收集敏感信息：客户端程序可以记录受害者的键盘输入、屏幕截图和网络流量等信息，并将其传输到服务器端程序。

免杀原理及方法

一：灰鸽子免杀方法大全在所有的版本中，黑防的鸽子算是比较好做免杀的了，今天在这里，我就用他做案例1，最经典的OD一半一半定位法我们把整个黑色标记的区域看成是没有修改的木马代码把它从中间切平均分成两半，把其中的一半用nop 填充掉，再用瑞星杀内存，如果杀掉了就说明特征代码在我们没有nop 掉的一半，没有杀到就说明我们刚刚nop的一半中含有特征代码。

所演示的情况是特征代码在没有nop 掉的一半，然后一：灰鸽子免杀方法大全在所有的版本中，黑防的鸽子算是比较好做免杀的了，今天在这里，我就用他做案例1，最经典的OD一半一半定位法我们把整个黑色标记的区域看成是没有修改的木马代码把它从中间切平均分成两半，把其中的一半用nop 填充掉，再用瑞星杀内存，如果杀掉了就说明特征代码在我们没有nop 掉的一半，没有杀到就说明我们刚刚nop的一半中含有特征代码。

所演示的情况是特征代码在没有nop 掉的一半，然后我们再选择含有特征代码的一半，继续分半用nop 填了再杀。

这样我们的特征代码的范围就会越来越小。

整个过程新手估计也只要1个小时左右。

方法容易理解，效果好。

2，经典二CCL定位原理其实大同，都是要找特征码,然后做免杀。

因为过程很复杂..用文字很难表达，有需要的朋友可以私下找我，我那里有相关语音教程。

3，加壳，加花现在的加壳，加花软件百花齐放，而加了一个壳或者一个花之后，都能够给鸽子的服务端免杀起到广谱免杀的效果，但总感觉没前面介绍到的两种效果好，大家自己试一下就知道了。

想补充说的一点是，花和壳子最好弄的唯一一点。

不然很容易被杀，大家做了之后就知道我的意思了。

我个人感觉，那些"加区段修改入口点加密入口点"的方法，跟这个效果类似，所以就没另外分类二: 免杀方法和原理自从病毒与杀毒软件的诞生以来，他们之间的战争就从来没有停止过……多套特征码、自动脱壳、内存杀毒、主动防御等等的出现为网络安全做出了一次次的贡献，当然黑客们也毫不逊色，也出现了修改特征码、加双层变态壳、去文件头等新的免杀技术。

黑客炫耀免杀技术专家称有破解方法

黑客炫耀免杀技术专家称有破解方法“黑客基地站长长期收徒，主要教灰鸽子、抓鸡、DDOS攻击、木马制作、网站入侵、网站挂马、木马脱壳、免杀、捆绑服务器的制作与维护、网吧安全与入侵等，承接各类黑客业务”。

在百度贴吧上，类似的广告比比皆是，而受利益的驱动，病毒更是可以公开叫卖，从写程序到传播，到销售再到洗钱分账，由此产生的黑客制造病毒的产业链更是令人触目惊心。

几年前，黑客还离我们普通大众十分遥远，然而随着互联网的飞速发展，我国的“黑客”辈出，病毒与反病毒之间的较量更是逐年升级，网络安全环境遭受了严峻的考验。

近日，由江民科技发布的“2007年黑客行为分析”最新调查数据显示，2007年黑客行为呈明显上升趋势，有近四成以上的黑客正在研究“免杀病毒”技术，研制“免杀病毒”和在互联网交流“免杀技术”已经成为黑客们最为热衷、追捧的行为。

“免杀”，顾名思义就是逃避杀毒软件的查杀，目前用得比较多的免杀方法有加壳、修改特征码和加花指令三种，通常黑客们会针对不同的情况来运用不同的免杀方法。

一位不愿意透露姓名的资深黑客，向记者详细介绍了最为流行的“病毒免杀”技术。

“想要了解病毒免杀技术的原理，首先要了解杀毒软件的工作方式。

杀毒软件的工作方式一般是特征码匹配杀毒，通过分析病毒的特征码来判断病毒。

而病毒只有能够逃避过杀毒软件的查杀，才能顺利实现其入侵系统、盗取用户私密信息的目的，‘免杀’病毒则应运而生。

”免杀技术之一：加花指令加花是病毒免杀常用的手段，加花的原理就是通过添加加花指令（一些垃圾指令，类型加1减1之类的无用语句）让杀毒软件检测不到特征码，干扰杀毒软件正常的检测。

加花以后，一些杀毒软件就检测不出来了，但是有些比较强的杀毒软件，像江民杀毒软件，病毒还是会被杀的。

这可以算是“免杀”技术中最初级的阶段。

免杀技术之二：加壳举例来说，如果说程序是一张烙饼，那壳就是包装袋，可以让你发现不了包装袋里的东西是什么。

比较常见的壳一般容易被杀毒软件识别，所以加壳有时候会使用到生僻壳，就是不常用的壳。