科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道灰鸽子VIP2006终极免杀技术(一)

灰鸽子VIP2006终极免杀技术(一)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这次给大家做一个过各种杀毒软件的免杀教程。这次教程主要以灰鸽子VIP2006服务端为例!

作者:黑客基地 来源:黑客基地 2008年6月11日

关键字: 黑客 网吧 网吧黑客 灰鸽子

  • 评论
  • 分享微博
  • 分享邮件

这次给大家做一个过各种杀毒软件的免杀教程。这次教程主要以灰鸽子VIP2006服务端为例!

现在网上很多免杀教程,我也看过很多,但是免杀效果都不是很好,用不几天就被杀了,所以真正免杀的鸽子,还是修改杀毒软件的特征码。这样免杀效果才更好,能达到长期免杀。

今天这节课主要给大家讲过卡巴内存免杀和外表免杀,达到总体免杀,只要你学会了这种方法,以后自己做属于自己的DIY免杀鸽子就可以啦!好了废话不多说了,大家就好好看我操作吧!这是我已经生成好的VIP2006服务端,下面我们开始把服务端的需要做免杀的DLL导出来!

这就是鸽子VIP2006服务端程序.exe→MAINDLL.dll→GETKEY.dll 大家看到了吧,2006少了一个hook.dll文件。以前VIP2005里有HOOK。DLL文件,现在2006里没有拉!这样做免杀就方便了一些!我们先把卡巴病毒库升级到最新的,然后在用卡巴查一下我们需要做免杀的这3个文件。看到了吧,都被列为黑名单了。

介绍一下卡巴的威力吧,卡巴我个人感觉是现在杀毒软件最牛的啦。呵呵不做广告啦,我们先做GETKEY。DLL也就是键盘记录钩子。下面看我操作吧,先来一次大定位,第一次先定位5秒1000字节吧,只要是被报毒的,我们就选择。然后进行第2次定位,5秒32字节,看好我的操作哦,别忘了删掉上次定位的。好保存结果,然后再来一次详细的8字节定位,这样能提高免杀效率。OK定位搞顶啦,然后我们去用C32工具来修改特征码可以用大小写修改法,也可以用跳转法,具体用什么,我们先去看看吧。看到了吧,有字母,那我们就用UE来该大小写字母吧,我们来杀下毒吧,文件不报毒了,看看内存呢,用OLB载入内存。被杀了,说明定位的还是不够准,那咱在来一次详细准确的4字节定位,呵呵,看来还有个来,继续。

OK最后一次详细定位结果出来啦,我们去保存一下。我们来分析一下结果吧,第一个大小60吧,下面的都一样吧,那我们就来选择第一个,去修改特征码,用跳转法,看我操作吧,用C32工具,找到0000B1CA大概就是这里拉,大家如果不懂16进制的话,可以找UE看哦,继续,,,我们把这段NOP掉,然后去下面找到程序空隙,也就是0000区吧,0000B1CB: 68 E4BE4000 PUSH 40BEE40000B1D0: E8 A7FBFFFF CALL 0000AD7C
--------------------------------------------------0000B1D5

新入口点 JMP 0000B916 也就是返回上面的意思吧 呵呵 不好意思这里因该JMP 0000B1D5 OK保存一下,我们来查下毒吧,文件不报警拉,我们内存查杀,因该找到我们刚刚保存的那个DLL,OK内存已经免杀了,我们现在看看导回服务端能不能上线。

把备份的删掉就可以了啦,现在我们传到空间上去,然后用虚拟即运行,我们改成keymiansha.exe传到空间吧,打开虚拟主机,上传完毕啦,等一下哦,虚拟机启动慢你可以快进一下观看。打开鸽子VIP2006等待上线,刚刚上线的这些不是哦,我专门的分组拉,等一等哦,先喝杯咖啡吧,呵呵。

----------------------------------------------------------
好拉,我们进去下载刚刚上传的KEY免杀服务端吧。因为上次做实验吧,还忘了卸载

看好拉,我把他卸掉。OK,哈哈上线拉,我们看看功能吧。功能都可以,好啦,我们卸掉它吧。

这节课KEYDLL免杀到次结束,下节课将MAINDLL.DLL免杀!

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章