【3.A.S.T】网络安全爱好者's Archiver

黑客学习

业余人 发表于 2010-3-19 17:32

绝杀360

最近在过360杀毒
。exe和。dll都过了 就是生成的服务端不过
我也定位过特征码,但无论怎么正向和反向定位,定位在配置信息上
360就是追着杀
改了之后要不不上线,要不就不免杀。

没法了 就到处去溜溜 看到了这篇文章
只改了一个地方 360就不响了  晕 真郁闷
360还是不行啊

Pcshare绝杀360杀软2009-07-02 22:40(转)PCshare绝杀360杀软

相信做过Pcshare免杀360的都知道这个免杀是有点难度的,今天我们就让360的免杀过程变成傻瓜化

在免杀360杀软之前,我也定位过特征码,但无论怎么正向和反向定位,360就是追着杀

改了之后要不不上线,要不就不免杀。既然它来的是阴招,那我们也给它来点阴的吧 ^_^

我们就不去定位Pcshare的特征码了,因为定位出来也免杀不了

那怎么办呢,其实这个方法在我以前的一个驱动免杀的教程也提过,不定位特征码就可以免杀掉360杀毒

每个木马都有每个木马的特色,Pcshare的服务端就有很多特色

004004F0: 55                         PUSH EBP
004004F1: 8BEC                       MOV EBP,ESP
004004F3: 83EC 1C                    SUB ESP,1C
004004F6: 53                         PUSH EBX
004004F7: 56                         PUSH ESI
004004F8: 57                         PUSH EDI
004004F9: 894D E4                    MOV [EBP-1C],ECX
004004FC: 50                         PUSH EAX
004004FD: 33C0                       XOR EAX,EAX
004004FF: 33C0                       XOR EAX,EAX
00400501: 33C0                       XOR EAX,EAX
00400503: 33C0                       XOR EAX,EAX
00400505: 33C0                       XOR EAX,EAX
00400507: 33C0                       XOR EAX,EAX
00400509: 0F84 03000000              JE 00400512

相信这样的指令大家都见过吧,就是有很多的XOR EAX,EAX,其实这些XOR EAX,EAX减少几个也是没问题的

如果到了不得以的时候,去掉几个XOR EAX,EAX就可以得到免杀的目的了



最主要的是那个JE,这个用的好的话,可以取得很多的方便的

记住一句话:看到了JE就可以改为JZ(当然并不是看到了je就能成功的改为jz的)

我们就是利用这个来达到免杀360杀软的目的的。把PcInit.exe和PcMain.dll里的je全改为jz

当然你喜欢的话也可以把PcHide.sys里的je也全改为jz,没人会责怪你的 ^_^

je和jz是完全等价的,不过je占用的字节数较多,jz占用的字节数较少罢了

如果我们把je改为jz的话,那不等于多出来了很多字节吗?这对我们的木马免杀也是很有用处的

大家也可以用快捷键来做,这样快点

对应汇编模式编辑:Ctrl+Q

查找下一个0F84:F3

汇编:shift+A

改多了就知道这样的就可以成功的把je改为jz

JE 0040189E
OUT E8,EAX //下面是一个out指令的就可以


现在就来改吧

用C32打开木马,搜索十六进制0F84,再点右键“对应汇编模式编辑”,把je改为jz即可,改后

会多出4个nop指令,多出来的nop在我们免杀的时候是有利用价值的

就这样改呀改,一直到把整个木马里能找到的全改好了,就能免杀360了...

PcMain.dll里的je没一百个也有九十个吧,我就不一个一个的改了,太多了,大家自己去改吧

改完后绝对能免杀掉360的

改后测试下,免杀了吧   呵呵

冷酷鲨鱼 发表于 2010-4-19 20:14

我没看错就是发错地方了。{:Yem47:Y}

xiaoding 发表于 2010-4-27 13:57

dhzdfhnxdgnxdgcv

521125 发表于 2010-5-8 19:39

学习一下 帮不上你的忙  不好意思

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.