小龙哥鸽子之猪流感全免杀
作者:小龙哥 摘自暗组暑假到了小菜开始搞破坏了。。以前的远控免杀了6个月终于被杀了
今天做了个鸽子免杀,由于和MM聊天就忘记了录像了。在这就说下我免杀的思路吧
先随便找个鸽子去掉后门,测试稳定行。网络上现在没多少干净鸽子了,懒的找啊。。
首先做的第一件事情不是定位,把DAT变为EXE格式用OD载入看看有什么地方被XX加花没,如果有说明这是以前被查杀过,在中间找到花花然后自己修改了下
花没技术含量 老4的工具包里面有花花的学习资源就不详细讲究了,然后用C32个人爱好 找鸽子的字串修改,鸽子专杀就是杀字串,有些杀软也杀字串的这也可以减少特征码,修改好了,就开始免杀瑞星定位大家都会不说了定位,只有一处特征码,C32修改 74改为75测试不杀 但是屏幕监控被破坏返回g大小G转换也破坏了屏幕监控,最后把74修改为EB 上线过了。但不过主动,在定位有可疑文件。全部删除,慢慢定位84=0F 搞定
接下来金山。因为刚修改了字串的原因吧不杀或者就是特征码一样。反正免杀前测试了要杀。接下来过卡巴定位修改 修改好了过了高启发但是不过。直接DTA加签名,也不过加了就加了不管他 反正正常上线,搞定这几个其他的懒得定位了。直接加壳然后打乱壳的头文件这样也可以达到免杀效果。测试过瑞星。卡吧(卡巴不过高起)金山,NOD32 大蜘蛛,在修改入口点,测试只有塞克铁门不过和几个冷杀软 铁门我是一定要过的现在的商业服务器上都是塞克。搞塞克我搞了半天郁闷死了,(正反,带后缀)都定位不出来特征,问老4 叫我修改字串过。。NND开始我就修改了为什么不过难道是我长的帅要封杀我,。后门我想到了个傻子办法(很实用)个人凭感觉找几段然后全部填充90在杀,知道填充到不杀位置找出大约位置。然后找到3-4个字母 大小转换,不杀了因为杀软的特征码也要前面的特征码辅助 比如A1B2特征是B2 但是你改前面A2B2也可以达到效果, 测试过了。至于有人问小红,一些人说小红杀壳很厉害XX之内的,
先我已经破坏了壳的头文件。但是这还是一个壳,叫破壳@.@。。。我们在破壳里面在给他加花花他就不是壳了,至于是什么我就不清楚了就好像人和妖生的孩子叫人妖。 保存改为DAT,然后加个数字签名。。有些人说数字签名现在没用了,
你马虽然免杀但是鸽子的特征字串还在啊 签了有毛用啊。。。签名直接过高启发
江名可能也不好意思,,看见怎么多大哥没杀。。也就没杀我了。。或许是签名的效果,DAT我也刚签了的
测试生成出来的鸽子有752KB还有一点DAT用Restorator。在里面添加版本信息也有免杀的效果。。。
下面是我修改免杀的一些经验push 变 popje 变 jnz add变sub
少跳转。这样会降低稳定性能 最好尽量不用跳转。最好下个汇编查询工具。这样免杀不会很累
偶的免杀做了1天半。。累啊
至于360和云杀属于机密性质,暂时不公开
小龙哥
2009.7.11___00:55分 昨天就看了... 额
知道了... 大大你的远控免杀6个月? 偶的天!
佩服。。。。 教教偶哇。。。。
PS: __T____Z__
页:
[1]