- 帖子
- 272
- 积分
- 608
- 威望
- 703
- 金钱
- 1365
- 在线时间
- 55 小时
|
以灰鸽子为例
1. 鸽子服务端默认安装路径设置
默认安装路径:$(winDir)\hacker.com.cn
为增强隐藏性设置成:$(winDir)\system32\winine.exe
2. 服务显示名的设置技巧:尽量伪装成与系统类似的服务.
显示名称:winine
服务名称:winine
描述信息:提供域名解析服务
第一步:改特征码这样免杀时间久(高手都用这个方法,不过你要定位那么多杀!软的特征码也够累的,除非自己用。)
第二步:加密或者加壳(加那些猛壳,生壳,对某种杀软有特效的壳)。比如: 北斗VMProtect对瑞星有特效。
第三步:壳本身的修改(壳中加花,壳中加区加花)
特征码修改
DESCRIPTION (这里有3处修改2处)
DDRERTDASD
HACKER (这里有2处全部修改)
GASDAA
PACKAGEINFO (这里有1处全部修改)
SADFYDNIFND
TMAINFORMVER2 (这里有3处全部修改)
FGDIFGFDGDGGF
灰鸽子远程控制服务端安装成功
我就是在这个鸽子的基础上做免
:\Program Files\Internet Explorer\IEXPLORE.EXE 改成-
:\windows\system32\svchost.exe 其余的用0填充
IEXPLORE.EXE 改成--
svchost.exe 其余的用0填充
DFHRVG.com.cn_MUTEX 用0填充
把里面的DVCLAL无用资源,PACKGEINFO也是无用资源,把它删除。然后保存
卡巴查杀很强(内存特征码跟文件特征码差不多),瑞星内存厉害(内存特征码跟文件特征码就不一样),特别对鸽子。金山数据流杀毒也不错。诺顿查文件头。只要打乱文件头就可以免杀,诺顿的特征码是一串的(很特别,要都改才行)。再者,有的人在零区域加花后。不能用MaskPE加密,但是有种加花是可以的。那就是一句话jmp跳转,就可以用MaskPE加密了。在这里。我推荐大家用MaskPE UPX壳 北斗 VMProtect ASProtect 这几个工具。因为它们的兼容性比较好,做免杀的必备的工具.
[ 本帖最后由 dsa3027235 于 2009-5-20 09:43 编辑 ] |
-
1
评分人数
-
|