駭客教程之灰鴿子VIP2006終極免殺技術(轉)
駭客教程之灰鴿子VIP2006終極免殺技術(轉)[@more@] 這次給大家做一個過各種防毒軟體的免殺教程。這次教程主要以灰鴿子VIP2006服務端為例!現在網上很多免殺教程,我也看過很多,但是免殺效果都不是很好,用不幾天就被殺了,所以真正免殺的鴿子,還是修改防毒軟體的特徵碼。這樣免殺效果才更好,能達到長期免殺。今天這節課主要給大家講過卡巴記憶體免殺和外表免殺,達到總體免殺,只要你學會了這種方法,以後自己做屬於自己的DIY免殺鴿子就可以啦!好了廢話不多說了,大家就好好看我操作吧!這是我已經生成好的VIP2006服務端,下面我們開始把服務端的需要做免殺的DLL匯出來!
這就是鴿子VIP2006服務端程式.exe→MAINDLL.dll→GETKEY.dll 大家看到了吧,2006少了一個hook.dll檔案。以前VIP2005裡有HOOK。DLL檔案,現在2006裡沒有拉!這樣做免殺就方便了一些!我們先把卡巴病毒庫升級到最新的,然後在用卡巴查一下我們需要做免殺的這3個檔案。看到了吧,都被列為黑名單了。
介紹一下卡巴的威力吧,卡巴我個人感覺是現在防毒軟體最牛的啦。呵呵不做廣告啦。
我們先做GETKEY。DLL也就是鍵盤記錄鉤子。下面看我操作吧,先來一次大定位,第一次先定位5秒1000位元組吧,只要是被報毒的,我們就選擇。然後進行第2次定位,5秒32位元組,看好我的操作哦,別忘了刪掉上次定位的。好儲存結果,然後再來一次詳細的8位元組定位,這樣能提高免殺效率。OK定位搞頂啦,然後我們去用C32工具來修改特徵碼可以用大小寫修改法,也可以用跳轉法,具體用什麼,我們先去看看吧。看到了吧,有字母,那我們就用UE來該大小寫字母吧,我們來殺下毒吧,檔案不報毒了,看看記憶體呢,用OLB載入記憶體。被殺了,說明定位的還是不夠準,那我們在來一次詳細準確的4位元組定位,呵呵,看來還有個來,繼續。
OK最後一次詳細定位結果出來啦,我們去儲存一下。我們來分析一下結果吧,第一個大小60吧,下面的都一樣吧,那我們就來選擇第一個,去修改特徵碼,用跳轉法,看我操作吧,用C32工具,找到0000B1CA大概就是這裡拉,大家如果不懂16進位制的話,可以找UE看哦,繼續,我們把這段NOP掉,然後去下面找到程式空隙,也就是0000區吧:
0000B1CB: 68 E4BE4000 PUSH 40BEE4
0000B1D0: E8 A7FBFFFF CALL 0000AD7C
--------------------------------------------------0000B1D5
新入口點 JMP 0000B916 也就是返回上面的意思吧 呵呵 不好意思這裡因該JMP 0000B1D5 OK儲存一下,我們來查下毒吧,檔案不報警拉,我們記憶體查殺,因該找到我們剛剛儲存的那個DLL,OK記憶體已經免殺了,我們現在看看導回服務端能不能上線。
把備份的刪掉就可以了啦,現在我們傳到空間上去,然後用虛擬即執行,我們改成keymiansha.exe傳到空間吧,開啟虛擬主機,上傳完畢啦,等一下哦,虛擬機器啟動慢你可以快進一下觀看。開啟鴿子VIP2006等待上線,剛剛上線的這些不是哦,我專門的分組拉,等一等哦,先喝杯咖啡吧,呵呵。
好拉,我們進去下載剛剛上傳的KEY免殺服務端吧。因為上次做實驗吧,還忘了解除安裝看好拉,我把他卸掉。OK,哈哈上線拉,我們看看功能吧。功能都可以,好啦,我們卸掉它吧。
KEYDLL免殺到次結束,下面將MAINDLL.DLL免殺!
現在我們該給MAINDLL.DLL做免殺了,我們先來給他做檔案免殺,如果檔案免殺完成,我們再載入OLB記憶體中,用卡巴查殺,如果能不被殺,那說明卡巴的檔案病毒特徵碼就和檔案一樣大,好我們還是來定位MAINDLL。DLL吧。先來一次大定位,下面看我操作吧,不打字拉,看我調CCL哦,第一次檔案定位 ,我們以生成500替換1000位元組。因為MAINDLL.DLL檔案600多K吧,為了節省時間,我們就定位大一點,好拉定位完成,我們來防毒。大家可以快進一下,因為防毒有點慢,繼續第2論定位,再來一次8位元組定位。剛才的32位元組還沒防毒呢,繼續防毒,好結果終於出來拉,我們用C32來搞跳轉法。找這個000852D0,呵呵不好意思哈打錯拉,因該開啟這個哦,找到啦,我們去下面找空隙:
000852CE: 8B55 F8 MOV EDX, [DWORD SS:EBP-8]
000852D1: 8B45 FC MOV EAX, [DWORD SS:EBP-4]
000852D4: E8 03FBFFFF CALL 00084DDC
-------------------------------------------------------JMP 000852D9
新入口點 00085C10 跳轉法完畢,我們儲存一下,查毒,檔案查殺已經過拉,我們來記憶體查殺。哈哈記憶體也過拉,現在我們要導回服務端,,,看看能不能上線。還是傳到我地空間,然後上虛擬主機試驗。呵呵捎等一下,有時候就這樣,OK上來拉,速度有點慢哦,耐心等一下吧,虛擬主機慢啊,,,大家可以快進一下哦。下面做的就是測試能不能上線拉,把鴿子VIP2006開啟,等待上線。消失了,看看能上線吧?OK可以上線,到此結束,下面講服務端免殺。
上面已經完成服務端核心了,這裡主要給大家做服務端的免殺!OK。廢話少說,我們來做服務端免殺。先把上節課做的免殺的MAINDLL.DLL匯入沒有做免殺的服務端裡,大家看我來演示。我們先來一次大提定位吧,更新下病毒庫,再準確的來一次定位,看到了吧,還有2組,我們再來一次8位元組定位,我們來修改0000BBB5這段中的8個位元組。有RETN的地方我們就不修改,把複製的這段NOP掉,然後去下面找程式空隙,OK彙編完成,儲存一下。
0000BBB8: 57 PUSH EDI
0000BBB9: 696E 5F 39780000 IMUL EBP,[ESI+5F],7839
0000BBC0: 53 PUSH EBX
0000BBC1: 6F OUTS DX,DWORD PTR ES:[EDI]
--------------------------------------------------0000BBC2
新如口點0000C1DE
用卡巴查殺一下,看看,呵呵看到了吧,不報毒了,我們再記憶體查殺一下,看看,有點卡,耐心等待一下哦。看到了吧,記憶體也不報毒了,下面我們到虛擬主機上測試一下看看能不能上線,先把做好的免殺服務端傳到我的空間上去。去虛擬主機,啟動有點慢。
去開啟鴿子VIP2006等待上線哦,看看好了吧,消失了吧,看看虛擬主機的名字,DATOU,我們去看看鴿子上線了吧?OK。可以啦,現在可以在卡巴的眼皮下執行了,本教程到此結束,關於卡巴的終極免殺技術就到此吧,希望大家能學會。本文章只為學習,請勿做違法的事哦。
這就是鴿子VIP2006服務端程式.exe→MAINDLL.dll→GETKEY.dll 大家看到了吧,2006少了一個hook.dll檔案。以前VIP2005裡有HOOK。DLL檔案,現在2006裡沒有拉!這樣做免殺就方便了一些!我們先把卡巴病毒庫升級到最新的,然後在用卡巴查一下我們需要做免殺的這3個檔案。看到了吧,都被列為黑名單了。
介紹一下卡巴的威力吧,卡巴我個人感覺是現在防毒軟體最牛的啦。呵呵不做廣告啦。
我們先做GETKEY。DLL也就是鍵盤記錄鉤子。下面看我操作吧,先來一次大定位,第一次先定位5秒1000位元組吧,只要是被報毒的,我們就選擇。然後進行第2次定位,5秒32位元組,看好我的操作哦,別忘了刪掉上次定位的。好儲存結果,然後再來一次詳細的8位元組定位,這樣能提高免殺效率。OK定位搞頂啦,然後我們去用C32工具來修改特徵碼可以用大小寫修改法,也可以用跳轉法,具體用什麼,我們先去看看吧。看到了吧,有字母,那我們就用UE來該大小寫字母吧,我們來殺下毒吧,檔案不報毒了,看看記憶體呢,用OLB載入記憶體。被殺了,說明定位的還是不夠準,那我們在來一次詳細準確的4位元組定位,呵呵,看來還有個來,繼續。
OK最後一次詳細定位結果出來啦,我們去儲存一下。我們來分析一下結果吧,第一個大小60吧,下面的都一樣吧,那我們就來選擇第一個,去修改特徵碼,用跳轉法,看我操作吧,用C32工具,找到0000B1CA大概就是這裡拉,大家如果不懂16進位制的話,可以找UE看哦,繼續,我們把這段NOP掉,然後去下面找到程式空隙,也就是0000區吧:
0000B1CB: 68 E4BE4000 PUSH 40BEE4
0000B1D0: E8 A7FBFFFF CALL 0000AD7C
--------------------------------------------------0000B1D5
新入口點 JMP 0000B916 也就是返回上面的意思吧 呵呵 不好意思這裡因該JMP 0000B1D5 OK儲存一下,我們來查下毒吧,檔案不報警拉,我們記憶體查殺,因該找到我們剛剛儲存的那個DLL,OK記憶體已經免殺了,我們現在看看導回服務端能不能上線。
把備份的刪掉就可以了啦,現在我們傳到空間上去,然後用虛擬即執行,我們改成keymiansha.exe傳到空間吧,開啟虛擬主機,上傳完畢啦,等一下哦,虛擬機器啟動慢你可以快進一下觀看。開啟鴿子VIP2006等待上線,剛剛上線的這些不是哦,我專門的分組拉,等一等哦,先喝杯咖啡吧,呵呵。
好拉,我們進去下載剛剛上傳的KEY免殺服務端吧。因為上次做實驗吧,還忘了解除安裝看好拉,我把他卸掉。OK,哈哈上線拉,我們看看功能吧。功能都可以,好啦,我們卸掉它吧。
KEYDLL免殺到次結束,下面將MAINDLL.DLL免殺!
現在我們該給MAINDLL.DLL做免殺了,我們先來給他做檔案免殺,如果檔案免殺完成,我們再載入OLB記憶體中,用卡巴查殺,如果能不被殺,那說明卡巴的檔案病毒特徵碼就和檔案一樣大,好我們還是來定位MAINDLL。DLL吧。先來一次大定位,下面看我操作吧,不打字拉,看我調CCL哦,第一次檔案定位 ,我們以生成500替換1000位元組。因為MAINDLL.DLL檔案600多K吧,為了節省時間,我們就定位大一點,好拉定位完成,我們來防毒。大家可以快進一下,因為防毒有點慢,繼續第2論定位,再來一次8位元組定位。剛才的32位元組還沒防毒呢,繼續防毒,好結果終於出來拉,我們用C32來搞跳轉法。找這個000852D0,呵呵不好意思哈打錯拉,因該開啟這個哦,找到啦,我們去下面找空隙:
000852CE: 8B55 F8 MOV EDX, [DWORD SS:EBP-8]
000852D1: 8B45 FC MOV EAX, [DWORD SS:EBP-4]
000852D4: E8 03FBFFFF CALL 00084DDC
-------------------------------------------------------JMP 000852D9
新入口點 00085C10 跳轉法完畢,我們儲存一下,查毒,檔案查殺已經過拉,我們來記憶體查殺。哈哈記憶體也過拉,現在我們要導回服務端,,,看看能不能上線。還是傳到我地空間,然後上虛擬主機試驗。呵呵捎等一下,有時候就這樣,OK上來拉,速度有點慢哦,耐心等一下吧,虛擬主機慢啊,,,大家可以快進一下哦。下面做的就是測試能不能上線拉,把鴿子VIP2006開啟,等待上線。消失了,看看能上線吧?OK可以上線,到此結束,下面講服務端免殺。
上面已經完成服務端核心了,這裡主要給大家做服務端的免殺!OK。廢話少說,我們來做服務端免殺。先把上節課做的免殺的MAINDLL.DLL匯入沒有做免殺的服務端裡,大家看我來演示。我們先來一次大提定位吧,更新下病毒庫,再準確的來一次定位,看到了吧,還有2組,我們再來一次8位元組定位,我們來修改0000BBB5這段中的8個位元組。有RETN的地方我們就不修改,把複製的這段NOP掉,然後去下面找程式空隙,OK彙編完成,儲存一下。
0000BBB8: 57 PUSH EDI
0000BBB9: 696E 5F 39780000 IMUL EBP,[ESI+5F],7839
0000BBC0: 53 PUSH EBX
0000BBC1: 6F OUTS DX,DWORD PTR ES:[EDI]
--------------------------------------------------0000BBC2
新如口點0000C1DE
用卡巴查殺一下,看看,呵呵看到了吧,不報毒了,我們再記憶體查殺一下,看看,有點卡,耐心等待一下哦。看到了吧,記憶體也不報毒了,下面我們到虛擬主機上測試一下看看能不能上線,先把做好的免殺服務端傳到我的空間上去。去虛擬主機,啟動有點慢。
去開啟鴿子VIP2006等待上線哦,看看好了吧,消失了吧,看看虛擬主機的名字,DATOU,我們去看看鴿子上線了吧?OK。可以啦,現在可以在卡巴的眼皮下執行了,本教程到此結束,關於卡巴的終極免殺技術就到此吧,希望大家能學會。本文章只為學習,請勿做違法的事哦。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-959865/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Windows下基礎免殺技術Windows
- Windows應急響應-灰鴿子遠控木馬Windows
- [原創]免殺技術有一套(免殺方法大集結)(Anti-AntiVirus)
- 【免殺技術】Tomcat記憶體馬-FilterTomcat記憶體Filter
- 駭客到底有多黑-駭客群體構成,技術起源概述 (轉)
- 駭客系列教程之暴力注入Explorer(轉)
- 四問灰鴿子工作室:你不是病毒是什麼?
- git伺服器技術總結終極版Git伺服器
- 駭客攻擊技術之高階SQL隱碼攻擊技術(轉)SQL
- 資料庫系統防駭客入侵技術(轉)資料庫
- 防治運營商HTTP劫持的終極技術手段HTTP
- 終極戰爭模型(轉)模型
- 駭客系列教程之脫殼的各種方法(轉)
- 菜鳥必看:釋出駭客最初步的技術(轉)
- 駭客系列知識之入門技術——DOS全集(轉)
- 駭客技術介紹之利用ip序列攻擊(轉)
- 下一代戰術競技卡牌 《漫威終極逆轉》今日公測
- 駭客中級技術--緩衝區溢位攻擊(轉)
- 軟體工程師所需掌握的“終極技術”是什麼?軟體工程工程師
- 初探免殺之路——免殺方法測試
- Flutter終極大殺器,一個它頂四個庫!Flutter
- 駭客技術精品圖書彙總
- 新手看招:最經典的駭客技術入門知識(轉)
- 下一代戰術競技卡牌《漫威終極逆轉》正式公測開啟
- 免殺初探
- 現代技術計算的終極系統:Mathematica mac中文版Mac
- 駭客技術大放送,欺騙IP攻擊的追蹤(轉)
- 免殺!第三課 免殺前奏+特徵碼定位…特徵
- 【免殺篇】遠控免殺專題(32)-Go載入shellcode免殺-3種方式(VT免殺率7-70)Go
- asp.net適用於IE或FireFox的禁用頁面快取的終極必殺技ASP.NETFirefox快取
- go免殺初探Go
- PHP小馬免殺PHP
- 免殺雜談
- linux命令終極系列之(find)(轉)Linux
- 8種常見的駭客攻擊技術
- mac下終極好用的shell,終極shellMac
- 電信詐騙黑灰產業鏈現狀(三):免籤、代收、代付技術成詐騙主流洗錢方式產業
- 一個殺死終端所有程式的 Shell(轉)