【3.A.S.T】网络安全爱好者's Archiver

黑客学习

dsa3027235 发表于 2009-5-20 09:39

新手免杀套路

以灰鸽子为例
1. 鸽子服务端默认安装路径设置
                          默认安装路径:$(winDir)\hacker.com.cn
                          为增强隐藏性设置成:$(winDir)\system32\winine.exe
                                                                                                  
  2. 服务显示名的设置技巧:尽量伪装成与系统类似的服务.
                          显示名称:winine
                          服务名称:winine
                          描述信息:提供域名解析服务
                                      
     
      第一步:改特征码这样免杀时间久(高手都用这个方法,不过你要定位那么多杀!软的特征码也够累的,除非自己用。)

      第二步:加密或者加壳(加那些猛壳,生壳,对某种杀软有特效的壳)。比如: 北斗VMProtect对瑞星有特效。
                                          
      第三步:壳本身的修改(壳中加花,壳中加区加花)

            特征码修改
                       DESCRIPTION (这里有3处修改2处)
                       DDRERTDASD

                       HACKER (这里有2处全部修改)
                       GASDAA

                       PACKAGEINFO (这里有1处全部修改)
                       SADFYDNIFND

                       TMAINFORMVER2 (这里有3处全部修改)
                       FGDIFGFDGDGGF
                                                                                                   
                  

                       灰鸽子远程控制服务端安装成功
                       我就是在这个鸽子的基础上做免
                       
                       :\Program Files\Internet Explorer\IEXPLORE.EXE  改成-
                       :\windows\system32\svchost.exe  其余的用0填充
                       
                       IEXPLORE.EXE  改成--
                       svchost.exe   其余的用0填充
                       
                       DFHRVG.com.cn_MUTEX  用0填充

    把里面的DVCLAL无用资源,PACKGEINFO也是无用资源,把它删除。然后保存
卡巴查杀很强(内存特征码跟文件特征码差不多),瑞星内存厉害(内存特征码跟文件特征码就不一样),特别对鸽子。金山数据流杀毒也不错。诺顿查文件头。只要打乱文件头就可以免杀,诺顿的特征码是一串的(很特别,要都改才行)。再者,有的人在零区域加花后。不能用MaskPE加密,但是有种加花是可以的。那就是一句话jmp跳转,就可以用MaskPE加密了。在这里。我推荐大家用MaskPE       UPX壳  北斗 VMProtect  ASProtect  这几个工具。因为它们的兼容性比较好,做免杀的必备的工具.

[[i] 本帖最后由 dsa3027235 于 2009-5-20 09:43 编辑 [/i]]

__┇靈魂" 发表于 2009-5-20 20:43

好像看的动点点。以前玩过几天灰鸽子。

zrz444 发表于 2009-5-24 07:59

不错的经验..

EndTo偌枫 发表于 2009-5-27 07:55

比较适合新手吧

hilarylove 发表于 2009-5-28 02:25

这些应该现在有的不可以吧。比较早前的了。现在觉得鸽子没有上兴好

EndTo偌枫 发表于 2009-5-29 07:37

的确是比较简单的免杀套路  值得期待高级级别的

chenqi0701 发表于 2009-6-2 23:54

常来看看.真的学好多东西

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.