我爱电脑技术论坛's Archiver

LOK 发表于 2008-6-7 22:33

灰鸽子vip2006简单免杀

测试的平台有:咔吧,瑞星,江民,金山,nod32,诺顿
/AD0sAy;^%i 0wa1M O%Jz"Y
工具:MyCCL复合特征码定位器 官方下载地址:[url]http://www.allinhack.com/blog/[/url]  
0~^:t Cpa.B AOl      Ollydbg            这个看雪有下载 [url]http://www.pediy.com[/url]
5YhBCV,d7Bb      OC              官方下载地址:[url]http://www.vxer.cn/hmx/[/url]    hvqgI fS4JF8xm4N
     UE              这个工具华军软件园有下  h w uDj,c
     Rescope            这个看雪有下载 [url]http://www.pediy.com[/url] ^"Zb T;OPF
     nsAnt.exe          一个猛壳,打包给大家
N b?6ta#HG9| o7O1m)^i6o5qpt
免杀思路:我个人认为应该先给你的木马加壳或者加花,然后用杀毒软件杀一下,看看有那些杀毒软件杀,然后单独定位那个杀毒软件的特征码,修改特征码的时候,先直接改试试,然后如果不行再指令调换或者通用跳转法!最后加壳和加花处理,免杀就成功了!
b K ~L aZ          -ok`[(YG'O/X:b
         现在瑞星的内存查杀好象不那么强了,咔吧的文件查杀是依然那么变态,而且特征码更新的很勤!nsAnt.exe这款壳很猛,加壳后只有咔吧杀,其他都过,所以我们就只定位卡巴的文件特征码!然后修改!
+c8w)e%C+N5|:NZ -Ai U,p,g2GR e
免杀过程:1.导出MAINDLL.DLL,然后再导出GETKEY.DLL,我们看看查杀结果,咔吧杀,江民杀,nod32杀,瑞星杀,诺顿过,金山杀!我们来给它加个壳,在看查杀的结果,只剩咔吧杀了!
^I)G,f"y? {3i~O9Ln+P
         咔吧的文件查杀果然是强!我们来定位特征码。用MyCCL,操作很简单,大家看我操作就可以了!
&l1c5eg1m6I-d2l!L:@si S EO&LM1A
         2.GETKEY.DLL咔吧文件特征码定位结果: 1K#W*O9P)~|^"qag4V`
         [特征] 0000AFB9_00000002//003dBBB9我们用oc转一下地址,注意这里要改成3d
(Z0T"m4Ws \1Op U "FEc(a Y3AY
         指令调换:
m4o)l^*}8m          003DBBB6      |. 8D45 F8        lea eax,dword ptr ss:[ebp-8]
dMV,BAr1T*e+i&_o          003DBBB9          BA 06000000    mov edx,6 -~9]k$K;OD#r.y

QN%U9h/a.o*MD2x5C X          3.加壳在看查杀结果!全过! @iSP ?Tn;EE
(y)s;fz jV1zn~+Y
         4.把GETKEY.DLL导回到MAINDLL.DLL,在看看MAINDLL.DLL的查杀情况,咔吧是不杀的,其他的我们只要加个壳就过了!
7e%Na8O/w` Toe;d3f
         5.MAINDLL.DLL导回到Setup.exe,看看查杀结果,咔吧还是杀的,定咔吧的特征码,然后改掉!在加壳就都过了!
mG7E-P"Uxo+{W&E
S rOk_          6.Setup.exe咔吧文件特征码定位结果:
w%hPQN&d?.N            [特征] 0000BD6A_00000004//1314C96A
'J-w @qPi+N            [特征] 0000C202_00000004//1314CE02 和刚才定的不太一样,因为有的时候,你分块不同结果也可能不同!
-uG0iUA1dO^i e,T q)z W/I7[4d
           一共有两处都需要改! ;B7F[9H'jd0yp
|P` u0E?
           第一处,[特征] 0000BD6A_00000004//1314C96A
;p7Qf'N)Jl"dI(U
1f.T6P*O-[ G K%@a2_            1314C967          A1 50E91413    mov eax,dword ptr ds:[1314E950]  
.QLuB"p?2m            1314C96C          50          push eax
qa7zl)`T            o9Gd-k2c8KB _Z)o
           指令顺序调换,就可以了! 2L1M)KOq
iqA*}J4k
         第二处,[特征] 0000C202_00000004//1314CE02 w6?m-rn Bx
         !kQmISK;Z"k}
           大小写替换一下就可以了!我们定位的结果是很准的,看咔吧不杀了吧! .gA6iqkY du
nkq.y9J&f
       7.最后加壳,看免杀效果,瑞星的内存是过的!看看能不能上线!看瑞星的内存查杀已经不那么强了,我们并没有去定为内存!好了,都过了。希望大家都能有自己免杀的鸽子!-ic,oSM%\
         总是定在文件头,可以先给鸽子加个壳,在定!或者去头在定!因为是复合特征码的原因!

页: [1]

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.