|
|
楼主 |
发表于 2008-8-13 20:31:45
|
显示全部楼层
|阅读模式
来自 四川省泸州市
-----------------------------------------------------------------------------------------
黑狼基地 菜鸟起飞的乐园www.nb5.cn
我们有狼的精神!有困难不怕,就怕遇不到困难
黑狼基地与朋友们携手共创美好明天!欢迎光临黑狼基地!
-----------------------------------------------------------------------------------------
大家好 我是冰河洗剑 QQ:443863348 今天我给大家带来的教程是黑防鸽子过NOD32
工具全部会打包给大家
这个想必新手是很期待的过NOD32传统的定位定位出来的特征码修改了还是被杀
今天的教程比较长大家看好我的操作
今天我们带来“NOD32启发式”的免杀 目标:让鸽子免NOD32。
我这个DAT是不过NOD32的我们看下配置 高启发:-) 刚刚更新的为了给大家演示效果 更新好慢 反正NOD32不怎么更新特征的没关系
我这里说下定位EXE的话最好先重建一下输入表我这里无所谓了 一会直接就能过掉大家自己做可以加个压缩壳然后用PEID的脱壳机脱掉 它自动会弹出是否重建输入表 大家选是就好了^_^
今天说到的只能属于一种方法..不能算技术^_^
实际上代码也是从一个老花中提取出来的
其实也不能完全算花.因为还是要配合壳来进行免杀的
但为什么又要以花来命题呢
因为这这里面。花只主导
因为花而使得NOD32脱不掉壳脱不掉壳就不会杀了嘛^_^
为了演示真实性
今天我演示2个压缩壳
高启打开我刚才打开了选项是全部勾上的 病毒库是最新的我给大家演示一下
我这个鸽子是被杀很久的了我们先来看下刚刚测试过了看到了吧是被杀的 我们先来看看壳 这个方法不能先有加壳 无壳^_^这个我以前改过了文件头 所以一开始不认识是无壳的
好了是被杀的
测试ASPACK一款很早的压缩壳了
花指令再下面了很简单的2句
我们先来加壳这里服务端我就不测试了 是可以上线的
好了 我们PEID看下加上壳了我们可以开始下一步了这个方法是壳上花
LEA EBP,DWORD PTR DS:[ECX+EAX]
MOV EAX,DWORD PTR SS:[EBP-70]
花指令 8D 2C 08 8B 45 90
我们打开超级加花器那这个加花方便我都是为了大家学习方便否则这些完全可以OD实现为了照顾新手 使用加花器来加花
我已经加进去了 这里就不加了大家选02那个花就是了还有那个配置文件不要动 不然自己的花全没了
我们运行一下 哈哈 是可以运行的~~ 我们杀一下看看 不杀了很简单吧大家看到了吧简单的压缩壳就可以过啦不要再网上花钱去买别人的工具做免杀了再简单的工具一样可以做好免杀 重要的是思路
高级启发式扫描~~哈哈大家学习了自己享受一下过掉NOD32的感受^_^
你如果改特征改得烦死我们反正不做免杀的DAT 只要服务端免杀就好了这里向制作免杀DAT的人致敬^_^
这个只加了ASPACK的依然是被杀的大家做好先改下主流的特征那些特征好改NOD32定位BT改完主流再用这个方法过掉NOD32
现在来测试另外那个掘北压缩也是0.22早期版本了
一样加壳后上花呵呵都是免杀的了可以运行没有问题 功能全在^_^
大家只加压缩壳别的是被杀的大家还要进行别的处理才好
我这里就只演示NOD32免杀了别的定位相信大家都会了NOD32特征不好定位所以我今天特意做了这个教程给大家为了花指令不失效大家不要外传出去 其实这个就是以前的花指令上提取的
这里我劝大家还是用用那些花指令吧 那些单独用是被杀的了 配合壳一起用 效果还是不错的 对卡巴NOD32效果是很不错的这个可能是外国杀毒的通病吧只要脱不掉壳一般就不杀了^_^
大家还可以试试别的压缩壳一般都可以的被杀可以自己变异一下花指令
教程工具中提供给大家的随便送大家个花指令生成器 方便大家做免杀我演示一下很简单的
看到了吧只要点生成就可以了花指令是随机生成的 不过由于时间有限编写的有些不好 大家别见怪^_^
大家多点几次生成的花指令一般都是不杀的了也可以自己变异那就看大家自己发挥了
今天教程对新手来说可能是有点难 我尽量压下难度了 不然好多操作都是手工完成的 现在不都工具完成了 大家多看几次就好了也可以一边看 一边操作这样很快就可以学会了
我的QQ在上面了大家有什么问题可以问我好了,教程就到这里了88
教程下载地址:点击下载 |
|
发表于 2008-11-28 16:18:29
发表于 2008-12-5 05:37:51
