駭客教程之灰鴿子VIP2006終極免殺技術(轉)

BSDLite發表於2007-08-15
駭客教程之灰鴿子VIP2006終極免殺技術(轉)[@more@]  這次給大家做一個過各種防毒軟體的免殺教程。這次教程主要以灰鴿子VIP2006服務端為例!現在網上很多免殺教程,我也看過很多,但是免殺效果都不是很好,用不幾天就被殺了,所以真正免殺的鴿子,還是修改防毒軟體的特徵碼。這樣免殺效果才更好,能達到長期免殺。今天這節課主要給大家講過卡巴記憶體免殺和外表免殺,達到總體免殺,只要你學會了這種方法,以後自己做屬於自己的DIY免殺鴿子就可以啦!好了廢話不多說了,大家就好好看我操作吧!這是我已經生成好的VIP2006服務端,下面我們開始把服務端的需要做免殺的DLL匯出來!

  這就是鴿子VIP2006服務端程式.exe→MAINDLL.dll→GETKEY.dll 大家看到了吧,2006少了一個hook.dll檔案。以前VIP2005裡有HOOK。DLL檔案,現在2006裡沒有拉!這樣做免殺就方便了一些!我們先把卡巴病毒庫升級到最新的,然後在用卡巴查一下我們需要做免殺的這3個檔案。看到了吧,都被列為黑名單了。

  介紹一下卡巴的威力吧,卡巴我個人感覺是現在防毒軟體最牛的啦。呵呵不做廣告啦。

  我們先做GETKEY。DLL也就是鍵盤記錄鉤子。下面看我操作吧,先來一次大定位,第一次先定位5秒1000位元組吧,只要是被報毒的,我們就選擇。然後進行第2次定位,5秒32位元組,看好我的操作哦,別忘了刪掉上次定位的。好儲存結果,然後再來一次詳細的8位元組定位,這樣能提高免殺效率。OK定位搞頂啦,然後我們去用C32工具來修改特徵碼可以用大小寫修改法,也可以用跳轉法,具體用什麼,我們先去看看吧。看到了吧,有字母,那我們就用UE來該大小寫字母吧,我們來殺下毒吧,檔案不報毒了,看看記憶體呢,用OLB載入記憶體。被殺了,說明定位的還是不夠準,那我們在來一次詳細準確的4位元組定位,呵呵,看來還有個來,繼續。

  OK最後一次詳細定位結果出來啦,我們去儲存一下。我們來分析一下結果吧,第一個大小60吧,下面的都一樣吧,那我們就來選擇第一個,去修改特徵碼,用跳轉法,看我操作吧,用C32工具,找到0000B1CA大概就是這裡拉,大家如果不懂16進位制的話,可以找UE看哦,繼續,我們把這段NOP掉,然後去下面找到程式空隙,也就是0000區吧:

  0000B1CB: 68 E4BE4000 PUSH 40BEE4

  0000B1D0: E8 A7FBFFFF CALL 0000AD7C

  --------------------------------------------------0000B1D5

  新入口點 JMP 0000B916 也就是返回上面的意思吧 呵呵 不好意思這裡因該JMP 0000B1D5 OK儲存一下,我們來查下毒吧,檔案不報警拉,我們記憶體查殺,因該找到我們剛剛儲存的那個DLL,OK記憶體已經免殺了,我們現在看看導回服務端能不能上線。

  把備份的刪掉就可以了啦,現在我們傳到空間上去,然後用虛擬即執行,我們改成keymiansha.exe傳到空間吧,開啟虛擬主機,上傳完畢啦,等一下哦,虛擬機器啟動慢你可以快進一下觀看。開啟鴿子VIP2006等待上線,剛剛上線的這些不是哦,我專門的分組拉,等一等哦,先喝杯咖啡吧,呵呵。

  好拉,我們進去下載剛剛上傳的KEY免殺服務端吧。因為上次做實驗吧,還忘了解除安裝看好拉,我把他卸掉。OK,哈哈上線拉,我們看看功能吧。功能都可以,好啦,我們卸掉它吧。

  KEYDLL免殺到次結束,下面將MAINDLL.DLL免殺!

  現在我們該給MAINDLL.DLL做免殺了,我們先來給他做檔案免殺,如果檔案免殺完成,我們再載入OLB記憶體中,用卡巴查殺,如果能不被殺,那說明卡巴的檔案病毒特徵碼就和檔案一樣大,好我們還是來定位MAINDLL。DLL吧。先來一次大定位,下面看我操作吧,不打字拉,看我調CCL哦,第一次檔案定位 ,我們以生成500替換1000位元組。因為MAINDLL.DLL檔案600多K吧,為了節省時間,我們就定位大一點,好拉定位完成,我們來防毒。大家可以快進一下,因為防毒有點慢,繼續第2論定位,再來一次8位元組定位。剛才的32位元組還沒防毒呢,繼續防毒,好結果終於出來拉,我們用C32來搞跳轉法。找這個000852D0,呵呵不好意思哈打錯拉,因該開啟這個哦,找到啦,我們去下面找空隙:

  000852CE: 8B55 F8 MOV EDX, [DWORD SS:EBP-8]

  000852D1: 8B45 FC MOV EAX, [DWORD SS:EBP-4]

  000852D4: E8 03FBFFFF CALL 00084DDC

  -------------------------------------------------------JMP 000852D9

  新入口點 00085C10 跳轉法完畢,我們儲存一下,查毒,檔案查殺已經過拉,我們來記憶體查殺。哈哈記憶體也過拉,現在我們要導回服務端,,,看看能不能上線。還是傳到我地空間,然後上虛擬主機試驗。呵呵捎等一下,有時候就這樣,OK上來拉,速度有點慢哦,耐心等一下吧,虛擬主機慢啊,,,大家可以快進一下哦。下面做的就是測試能不能上線拉,把鴿子VIP2006開啟,等待上線。消失了,看看能上線吧?OK可以上線,到此結束,下面講服務端免殺。

  上面已經完成服務端核心了,這裡主要給大家做服務端的免殺!OK。廢話少說,我們來做服務端免殺。先把上節課做的免殺的MAINDLL.DLL匯入沒有做免殺的服務端裡,大家看我來演示。我們先來一次大提定位吧,更新下病毒庫,再準確的來一次定位,看到了吧,還有2組,我們再來一次8位元組定位,我們來修改0000BBB5這段中的8個位元組。有RETN的地方我們就不修改,把複製的這段NOP掉,然後去下面找程式空隙,OK彙編完成,儲存一下。

  0000BBB8: 57 PUSH EDI

  0000BBB9: 696E 5F 39780000 IMUL EBP,[ESI+5F],7839

  0000BBC0: 53 PUSH EBX

  0000BBC1: 6F OUTS DX,DWORD PTR ES:[EDI]

  --------------------------------------------------0000BBC2

  新如口點0000C1DE

  用卡巴查殺一下,看看,呵呵看到了吧,不報毒了,我們再記憶體查殺一下,看看,有點卡,耐心等待一下哦。看到了吧,記憶體也不報毒了,下面我們到虛擬主機上測試一下看看能不能上線,先把做好的免殺服務端傳到我的空間上去。去虛擬主機,啟動有點慢。

  去開啟鴿子VIP2006等待上線哦,看看好了吧,消失了吧,看看虛擬主機的名字,DATOU,我們去看看鴿子上線了吧?OK。可以啦,現在可以在卡巴的眼皮下執行了,本教程到此結束,關於卡巴的終極免殺技術就到此吧,希望大家能學會。本文章只為學習,請勿做違法的事哦。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-959865/,如需轉載,請註明出處,否則將追究法律責任。

相關文章