駭客教程之灰鴿子VIP2006終極免殺技術(轉)

駭客教程之灰鴿子VIP2006終極免殺技術(轉)[@more@]　　這次給大家做一個過各種防毒軟體的免殺教程。這次教程主要以灰鴿子VIP2006服務端為例!現在網上很多免殺教程，我也看過很多，但是免殺效果都不是很好，用不幾天就被殺了，所以真正免殺的鴿子，還是修改防毒軟體的特徵碼。這樣免殺效果才更好，能達到長期免殺。今天這節課主要給大家講過卡巴記憶體免殺和外表免殺，達到總體免殺，只要你學會了這種方法，以後自己做屬於自己的DIY免殺鴿子就可以啦!好了廢話不多說了，大家就好好看我操作吧!這是我已經生成好的VIP2006服務端，下面我們開始把服務端的需要做免殺的DLL匯出來!

　　這就是鴿子VIP2006服務端程式.exe→MAINDLL.dll→GETKEY.dll 大家看到了吧，2006少了一個hook.dll檔案。以前VIP2005裡有HOOK。DLL檔案，現在2006裡沒有拉!這樣做免殺就方便了一些!我們先把卡巴病毒庫升級到最新的，然後在用卡巴查一下我們需要做免殺的這3個檔案。看到了吧，都被列為黑名單了。

　　介紹一下卡巴的威力吧，卡巴我個人感覺是現在防毒軟體最牛的啦。呵呵不做廣告啦。

　　我們先做GETKEY。DLL也就是鍵盤記錄鉤子。下面看我操作吧，先來一次大定位，第一次先定位5秒1000位元組吧，只要是被報毒的，我們就選擇。然後進行第2次定位，5秒32位元組，看好我的操作哦，別忘了刪掉上次定位的。好儲存結果，然後再來一次詳細的8位元組定位，這樣能提高免殺效率。OK定位搞頂啦，然後我們去用C32工具來修改特徵碼可以用大小寫修改法，也可以用跳轉法，具體用什麼，我們先去看看吧。看到了吧，有字母，那我們就用UE來該大小寫字母吧，我們來殺下毒吧，檔案不報毒了，看看記憶體呢，用OLB載入記憶體。被殺了，說明定位的還是不夠準，那我們在來一次詳細準確的4位元組定位，呵呵，看來還有個來，繼續。

　　OK最後一次詳細定位結果出來啦，我們去儲存一下。我們來分析一下結果吧，第一個大小60吧，下面的都一樣吧，那我們就來選擇第一個，去修改特徵碼，用跳轉法，看我操作吧，用C32工具，找到0000B1CA大概就是這裡拉，大家如果不懂16進位制的話，可以找UE看哦，繼續，我們把這段NOP掉，然後去下面找到程式空隙，也就是0000區吧:

　　0000B1CB: 68 E4BE4000 PUSH 40BEE4

　　0000B1D0: E8 A7FBFFFF CALL 0000AD7C

　　--------------------------------------------------0000B1D5

　　新入口點 JMP 0000B916 也就是返回上面的意思吧 呵呵 不好意思這裡因該JMP 0000B1D5 OK儲存一下，我們來查下毒吧，檔案不報警拉，我們記憶體查殺，因該找到我們剛剛儲存的那個DLL，OK記憶體已經免殺了，我們現在看看導回服務端能不能上線。

　　把備份的刪掉就可以了啦，現在我們傳到空間上去，然後用虛擬即執行，我們改成keymiansha.exe傳到空間吧，開啟虛擬主機，上傳完畢啦，等一下哦，虛擬機器啟動慢你可以快進一下觀看。開啟鴿子VIP2006等待上線，剛剛上線的這些不是哦，我專門的分組拉，等一等哦，先喝杯咖啡吧，呵呵。

　　好拉，我們進去下載剛剛上傳的KEY免殺服務端吧。因為上次做實驗吧，還忘了解除安裝看好拉，我把他卸掉。OK，哈哈上線拉，我們看看功能吧。功能都可以，好啦，我們卸掉它吧。

　　KEYDLL免殺到次結束，下面將MAINDLL.DLL免殺!

　　現在我們該給MAINDLL.DLL做免殺了，我們先來給他做檔案免殺，如果檔案免殺完成，我們再載入OLB記憶體中，用卡巴查殺，如果能不被殺，那說明卡巴的檔案病毒特徵碼就和檔案一樣大，好我們還是來定位MAINDLL。DLL吧。先來一次大定位，下面看我操作吧，不打字拉，看我調CCL哦，第一次檔案定位 ，我們以生成500替換1000位元組。因為MAINDLL.DLL檔案600多K吧，為了節省時間，我們就定位大一點，好拉定位完成，我們來防毒。大家可以快進一下，因為防毒有點慢，繼續第2論定位，再來一次8位元組定位。剛才的32位元組還沒防毒呢，繼續防毒，好結果終於出來拉，我們用C32來搞跳轉法。找這個000852D0，呵呵不好意思哈打錯拉，因該開啟這個哦，找到啦，我們去下面找空隙:

　　000852CE: 8B55 F8 MOV EDX, [DWORD SS:EBP-8]

　　000852D1: 8B45 FC MOV EAX, [DWORD SS:EBP-4]

　　000852D4: E8 03FBFFFF CALL 00084DDC

　　-------------------------------------------------------JMP 000852D9

　　新入口點 00085C10 跳轉法完畢，我們儲存一下，查毒，檔案查殺已經過拉，我們來記憶體查殺。哈哈記憶體也過拉，現在我們要導回服務端，，，看看能不能上線。還是傳到我地空間，然後上虛擬主機試驗。呵呵捎等一下，有時候就這樣，OK上來拉，速度有點慢哦，耐心等一下吧，虛擬主機慢啊，，，大家可以快進一下哦。下面做的就是測試能不能上線拉，把鴿子VIP2006開啟，等待上線。消失了，看看能上線吧?OK可以上線，到此結束，下面講服務端免殺。

　　上面已經完成服務端核心了，這裡主要給大家做服務端的免殺!OK。廢話少說，我們來做服務端免殺。先把上節課做的免殺的MAINDLL.DLL匯入沒有做免殺的服務端裡，大家看我來演示。我們先來一次大提定位吧，更新下病毒庫，再準確的來一次定位，看到了吧，還有2組，我們再來一次8位元組定位，我們來修改0000BBB5這段中的8個位元組。有RETN的地方我們就不修改，把複製的這段NOP掉，然後去下面找程式空隙，OK彙編完成，儲存一下。

　　0000BBB8: 57 PUSH EDI

　　0000BBB9: 696E 5F 39780000 IMUL EBP,[ESI+5F],7839

　　0000BBC0: 53 PUSH EBX

　　0000BBC1: 6F OUTS DX,DWORD PTR ES:[EDI]

　　--------------------------------------------------0000BBC2

　　新如口點0000C1DE

　　用卡巴查殺一下，看看，呵呵看到了吧，不報毒了，我們再記憶體查殺一下，看看，有點卡，耐心等待一下哦。看到了吧，記憶體也不報毒了，下面我們到虛擬主機上測試一下看看能不能上線，先把做好的免殺服務端傳到我的空間上去。去虛擬主機，啟動有點慢。

　　去開啟鴿子VIP2006等待上線哦，看看好了吧，消失了吧，看看虛擬主機的名字，DATOU，我們去看看鴿子上線了吧?OK。可以啦，現在可以在卡巴的眼皮下執行了，本教程到此結束，關於卡巴的終極免殺技術就到此吧，希望大家能學會。本文章只為學習，請勿做違法的事哦。