| 灰鸽子VIP2006终极免杀技术 |
| 责任编辑:水土不服 更新日期:2006-9-7 |
|
|
这次给大家做一个过各种杀毒软件的免杀教程。这次教程主要以灰鸽子VIP2006服务端为例!现在网上很多免杀教程,我也看过很多,但是免杀效果都不是很好,用不几天就被杀了,所以真正免杀的鸽子,还是修改杀毒软件的特征码。这样免杀效果才更好,能达到长期免杀。今天这节课主要给大家讲过卡巴内存免杀和外表免杀,达到总体免杀,只要你学会了这种方法,以后自己做属于自己的DIY免杀鸽子就可以啦!好了废话不多说了,大家就好好看我操作吧!这是我已经生成好的VIP2006服务端,下面我们开始把服务端的需要做免杀的DLL
导出来!
这就是鸽子VIP2006服务端程序.exe→MAINDLL.dll→GETKEY.dll 大家看到了吧,2006少了一个hook.dll文件。以前VIP2005里有HOOK。DLL文件,现在2006里没有拉!这样做免杀就方便了一些!我们先把卡巴病毒库升级到最新的,然后在用卡巴查一下我们需要做免杀的这3个文件。看到了吧,都被列为黑名单了。
介绍一下卡巴的威力吧,卡巴我个人感觉是现在杀毒软件最牛的啦。呵呵不做广告啦。
我们先做GETKEY。DLL也就是键盘记录钩子。下面看我操作吧,先来一次大定位,第一次先定位5秒1000字节吧,只要是被报毒的,我们就选择。然后进行第2次定位,5秒32字节,看好我的操作哦,别忘了删掉上次定位的。好保存结果,然后再来一次详细的8字节定位,这样能提高免杀效率。OK定位搞顶啦,然后我们去用C32工具来修改特征码可以用大小写修改法,也可以用跳转法,具体用什么,我们先去看看吧。看到了吧,有字母,那我们就用UE来该大小写字母吧,我们来杀下毒吧,文件不报毒了,看看内存呢,用OLB载入内存。被杀了,说明定位的还是不够准,那咱在来一次详细准确的4字节定位,呵呵,看来还有个来,继续。
OK最后一次详细定位结果出来啦,我们去保存一下。我们来分析一下结果吧,第一个大小60吧,下面的都一样吧,那我们就来选择第一个,去修改特征码,用跳转法,看我操作吧,用C32工具,找到0000B1CA大概就是这里拉,大家如果不懂16进制的话,可以找UE看哦,继续,我们把这段NOP掉,然后去下面找到程序空隙,也就是0000区吧:
0000B1CB: 68 E4BE4000 PUSH 40BEE4
0000B1D0: E8 A7FBFFFF CALL 0000AD7C
--------------------------------------------------0000B1D5
新入口点 JMP 0000B916 也就是返回上面的意思吧 呵呵 不好意思这里因该JMP 0000B1D5 OK保存一下,我们来查下毒吧,文件不报警拉,我们内存查杀,因该找到我们刚刚保存的那个DLL,OK内存已经免杀了,我们现在看看导回服务端能不能上线。
把备份的删掉就可以了啦,现在我们传到空间上去,然后用虚拟即运行,我们改成keymiansha.exe传到空间吧,打开虚拟主机,上传完毕啦,等一下哦,虚拟机启动慢你可以快进一下观看。打开鸽子VIP2006等待上线,刚刚上线的这些不是哦,我专门的分组拉,等一等哦,先喝杯咖啡吧,呵呵。
好拉,我们进去下载刚刚上传的KEY免杀服务端吧。因为上次做实验吧,还忘了卸载看好拉,我把他卸掉。OK,哈哈上线拉,我们看看功能吧。功能都可以,好啦,我们卸掉它吧。
KEYDLL免杀到次结束,下面将MAINDLL.DLL免杀!
现在我们该给MAINDLL.DLL做免杀了,我们先来给他做文件免杀,如果文件免杀完成,我们再载入OLB内存中,用卡巴查杀,如果能不被杀,那说明卡巴的文件病毒特征码就和文件一样大,好我们还是来定位MAINDLL。DLL吧。先来一次大定位,下面看我操作吧,不打字拉,看我调CCL哦,第一次文件定位 ,我们以生成500替换1000字节。因为MAINDLL.DLL文件600多K吧,为了节省时间,我们就定位大一点,好拉定位完成,我们来杀毒。大家可以快进一下,因为杀毒有点慢,继续第2论定位,再来一次8字节定位。刚才的32字节还没杀毒呢,继续杀毒,好结果终于出来拉,我们用C32来搞跳转法。找这个000852D0,呵呵不好意思哈打错拉,因该打开这个哦,找到啦,我们去下面找空隙:
000852CE: 8B55 F8 MOV EDX, [DWORD SS:EBP-8]
000852D1: 8B45 FC MOV EAX, [DWORD SS:EBP-4]
000852D4: E8 03FBFFFF CALL 00084DDC
-------------------------------------------------------JMP 000852D9
新入口点 00085C10 跳转法完毕,我们保存一下,查毒,文件查杀已经过拉,我们来内存查杀。哈哈内存也过拉,现在我们要导回服务端,,,看看能不能上线。还是传到我地空间,然后上虚拟主机试验。呵呵捎等一下,有时候就这样,OK上来拉,速度有点慢哦,耐心等一下吧,虚拟主机慢啊,,,大家可以快进一下哦。下面做的就是测试能不能上线拉,把鸽子VIP2006打开,等待上线。消失了,看看能上线吧?OK可以上线,到此结束,下面讲服务端免杀。
上面已经完成服务端内核了,这里主要给大家做服务端的免杀!OK。废话少说,我们来做服务端免杀。先把上节课做的免杀的MAINDLL.DLL导入没有做免杀的服务端里,大家看我来演示。我们先来一次大提定位吧,更新下病毒库,再准确的来一次定位,看到了吧,还有2组,我们再来一次8字节定位,我们来修改0000BBB5这段中的8个字节。有RETN的地方我们就不修改,把复制的这段NOP掉,然后去下面找程序空隙,OK汇编完成,保存一下。
0000BBB8: 57 PUSH EDI
0000BBB9: 696E 5F 39780000 IMUL EBP,[ESI+5F],7839
0000BBC0: 53 PUSH EBX
0000BBC1: 6F OUTS DX,DWORD PTR ES:[EDI]
--------------------------------------------------0000BBC2
新如口点0000C1DE
用卡巴查杀一下,看看,呵呵看到了吧,不报毒了,我们再内存查杀一下,看看,有点卡,耐心等待一下哦。看到了吧,内存也不报毒了,下面我们到虚拟主机上测试一下看看能不能上线,先把做好的免杀服务端传到我的空间上去。去虚拟主机,启动有点慢。
去打开鸽子VIP2006等待上线哦,看看好了吧,消失了吧,看看虚拟主机的名字,DATOU,我们去看看鸽子上线了吧?OK。可以啦,现在可以在卡巴的眼皮下运行了,本教程到此结束,关于卡巴的终极免杀技术就到此吧,希望大家能学会。本文章只为学习,请勿做违法的事哦。 |
|
| 上一篇文章: 木马一部分隐藏技术披露 |
| 下一篇文章: 最危险的四大漏洞之二——文件上传漏洞 |
|
|
|
|
