网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 黑客技术 > 文章  
骇客学堂:灰鸽子VIP2006终极免杀技术
文章来源: 天极博客 文章作者: 未知 发布时间: 2007-01-13   字体: [ ]
 

  这次给大家做一个过各种杀毒软件的免杀教程。这次教程主要以灰鸽子VIP2006服务端为例!现在网上很多免杀教程,我也看过很多,但是免杀效果都不是很好,用不几天就被杀了,所以真正免杀的鸽子,还是修改杀毒软件的特征码。这样免杀效果才更好,能达到长期免杀。今天这节课主要给大家讲过卡巴内存免杀和外表免杀,达到总体免杀,只要你学会了这种方法,以后自己做属于自己的DIY免杀鸽子就可以啦!好了废话不多说了,大家就好好看我操作吧!这是我已经生成好的VIP2006服务端,下面我们开始把服务端的需要做免杀的DLL导出来!

  这就是鸽子VIP2006服务端程序.exe→MAINDLL.dll→GETKEY.dll 大家看到了吧,2006少了一个hook.dll文件。以前VIP2005里有HOOK。DLL文件,现在2006里没有拉!这样做免杀就方便了一些!我们先把卡巴病毒库升级到最新的,然后在用卡巴查一下我们需要做免杀的这3个文件。看到了吧,都被列为黑名单了。

  介绍一下卡巴的威力吧,卡巴我个人感觉是现在杀毒软件最牛的啦。呵呵不做广告啦我们先做GETKEY。DLL也就是键盘记录钩子。下面看我操作吧,先来一次大定位,第一次先定位5秒1000字节吧,只要是被报毒的,我们就选择。然后进行第2次定位,5秒32字节,看好我的操作哦,别忘了删掉上次定位的。好保存结果,然后再来一次详细的8字节定位,这样能提高免杀效率。OK定位搞顶啦,然后我们去用C32工具来修改特征码可以用大小写修改法,也可以用跳转法,具体用什么,我们先去看看吧。看到了吧,有字母,那我们就用UE来该大小写字母吧,我们来杀下毒吧,文件不报毒了,看看内存呢,用OLB载入内存。被杀了,说明定位的还是不够准,那咱在来一次详细准确的4字节定位,呵呵,看来还有个来,继续。

  OK最后一次详细定位结果出来啦,我们去保存一下。我们来分析一下结果吧,第一个大小60吧,下面的都一样吧,那我们就来选择第一个,去修改特征码,用跳转法,看我操作吧,用C32工具,找到0000B1CA大概就是这里拉,大家如果不懂16进制的话,可以找UE看哦,继续,,,我们把这段 NOP掉,然后去下面找到程序空隙,也就是0000区吧

0000B1CB: 68 E4BE4000 PUSH 40BEE4
0000B1D0: E8 A7FBFFFF CALL 0000AD7C
0000B1D5

  新入口点 JMP 0000B916 也就是返回上面的意思吧 呵呵 不好意思这里因该JMP 0000B1D5 OK保存一下,我们来查下毒吧,文件不报警拉,我们内存查杀,因该找到我们刚刚保存的那个DLL,OK内存已经免杀了,我们现在看看导回服务端能不能上线。

  把备份的删掉就可以了啦,现在我们传到空间上去,然后用虚拟即运行,我们改成keymiansha.exe传到空间吧,打开虚拟主机,上传完毕啦,等一下哦,虚拟机启动慢你可以快进一下观看。打开鸽子VIP2006等待上线,刚刚上线的这些不是哦,我专门的分组拉,等一等哦,先喝杯咖啡吧,呵呵。

  好拉,我们进去下载刚刚上传的KEY免杀服务端吧。因为上次做实验吧,还忘了卸载看好拉,我把他卸掉。OK,哈哈上线拉,我们看看功能吧。功能都可以,好啦,我们卸掉它吧。

  KEYDLL免杀到次结束,下面将MAINDLL.DLL免杀!

  现在我们该给MAINDLL.DLL做免杀了,我们先来给他做文件免杀,如果文件免杀完成,我们再载入OLB内存中,用卡巴查杀,如果能不被杀,那说明卡巴的文件病毒特征码就和文件一样大,好我们还是来定位MAINDLL。DLL吧。先来一次大定位,下面看我操作吧,不打字拉,看我调CCL哦,第一次文件定位 ,我

  们以生成500替换1000字节。因为MAINDLL.DLL文件600多K吧,为了节省时间,我们就定位大一点,好拉定位完成,我们来杀毒。大家可以快进一下,因为杀毒有点慢,继续第2论定位,再来一次8字节定位。刚才的32字节还没杀毒呢,继续杀毒,好结果终于出来拉,我们用C32来搞跳转法。找这个000852D0,呵呵不好意思哈打错拉,因该打开这个哦,找到啦,我们去下面找空隙,

000852CE: 8B55 F8 MOV EDX, [DWORD SS:EBP-8]
000852D1: 8B45 FC MOV EAX, [DWORD SS:EBP-4]
000852D4: E8 03FBFFFF CALL 00084DDC
JMP 000852D9

  新入口点 00085C10 跳转法完毕,我们保存一下,查毒,文件查杀已经过拉,我们来内存查杀。哈哈内存也过拉,现在我们要导回服务端,,,看看能不能上线。还是传到我地空间,然后上虚拟主机试验。呵呵捎等一下,有时候就这样,OK上来拉,速度有点慢哦,耐心等一下吧,虚拟主机慢啊,,,大家可以快进一下哦。下面做的就是测试能不能上线拉,把鸽子VIP2006打开,等待上线。消失了,看看能上线吧?OK可以上线,到此结束,下面讲服务端免杀。

  上面已经完成服务端内核了,这里主要给大家做服务端的免杀!OK。废话少说,我们来做服务端免杀。先把上节课做的免杀的MAINDLL.DLL 导入没有做免杀的服务端里,大家看我来演示。我们先来一次大提定位吧,更新下病毒库,再准确的来一次定位,看到了吧,还有2组,我们再来一次8字节定位,我们来修改0000BBB5这段中的8个字节。有RETN的地方我们就不修改,把复制的这段NOP掉,然后去下面找程序空隙,OK汇编完成,保存一下。

0000BBB8: 57 PUSH EDI
0000BBB9: 696E 5F 39780000 IMUL EBP,[ESI+5F],7839
0000BBC0: 53 PUSH EBX
0000BBC1: 6F OUTS DX,DWORD PTR ES:[EDI]
0000BBC2

  新入口点0000C1DE

  用卡巴查杀一下,看看,呵呵看到了吧,不报毒了,我们再内存查杀一下,看看,有点卡,耐心等待一下哦。看到了吧,内存也不报毒了,下面我们到虚拟主机上测试一下看看能不能上线,先把做好的免杀服务端传到我的空间上去。去虚拟主机,启动有点慢。

  去打开鸽子VIP2006等待上线哦,看看好了吧,消失了吧,看看虚拟主机的名字,DATOU,我们去看看鸽子上线了吧?OK。可以啦,现在可以在卡巴的眼皮下运行了,本教程到此结束,关于卡巴的终极免杀技术就到此吧,希望大家能学会。本动画只为学习,请勿做违法的事哦,呵呵。以后我会陆续发布瑞星,江民,诺吨,金山,安博士,等杀毒软件的完全免杀教程。希望大家关注。

  (参考链接: http://soft.yesky.com/security/132/3039632.shtml)

 
推荐文章
·黑客攻破SQL服务器系统的十种方
·黑客的攻击:WEB入侵的过程
·Web环境下SQL注入攻击的检测与防
·黑客经典教程之理解地址解析协议
·黑客经典教程之缓冲区溢出解密(
·黑客经典教程之缓冲区溢出解密(
·黑客基础内容:21种RING的提权方
·网络孙子兵法!黑客攻防也有三十
·黑客攻击常见方法及安全策略制订
·黑客技巧 使用Google黑掉Windows
 
 
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·黑客基础内容 DOS常见命
·攻防秘技:彻底防范网络
·黑客教程:黑客入侵个人
·很多人的Hack经历第一次
·黑客基础内容 IPC$空连
·黑客经典教程之理解地址
·黑客技巧 使用Google黑
·黑客攻击常见方法及安全
相关分类
相关文章
·深入分析利用反弹技术进
·黑客技巧系列之常见的一
·攻防秘技:彻底防范网络
·防御DDOS攻击终极指南
·很多人的Hack经历第一次
·黑客攻破SQL服务器系统
·黑客技术:简介绕过Dark
·黑客的攻击:WEB入侵的
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $