|
|
发表于 2008-9-7 03:04:42
|
显示全部楼层
来自 河北省秦皇岛市
哪位高手帮忙分享一下方法或思路?
我在网上看到的一篇文章,跟大家分享一下,省这自己再做了,这篇文章挺详细的,这里主要就是加区加花的思路!如果把下面的花指令换成一个不常见的,效果会更好的!
作者:bjboy
发表时间:2006-4-5 16:14:21
废话不多说了现在开始,主要看我操作。哦忘了说了,今天的教程是CSERVER.DAT免杀,大家都知道灰鸽子2.02的H_Client.exe生成服务器端时是通过CSERVER.DAT生成的,CSERVER.DAT和生成的服务器端的区别就在于配置信息,我们只要免杀了CSERVER.DAT这个文件,那生成的服务器端不就免杀成功了。
现在我们开始,首先我们可以到黑防的VIP软件中下载“黑防鸽子专版”,其他地方下载的可能有后门,下载后解压,解压时杀毒软件会提示H_Client.exe和CSERVER.DAT都是被杀的了,我的H_Client.exe没被杀,我自己搞过免杀了,不让在用时还要关闭杀毒软件很繁,今天我们的主要对象是CSERVER.DAT免杀,我自己做了免杀,到现在都没被杀过,哈哈不错吧。CServer.dat改.EXE后,我们可以用PEiD打开CServer.exe,能看到Borland Delphi 6.0- 7.0,这个文件没加壳,我们在做免杀时也不能加壳,不然生成服务器端时,自己的上线配置信息就无法写入了,当然也就不能上线了。我们可以给生成好的服务器端再加壳,灰鸽子的服务器端实在是太大了。
哦忘了讲我们今天的免杀技巧了,今天免杀主要是对CServer.dat跳转入口地址、加花等免杀技巧,看来也没什么,教程网上多的是,但是假如没有我这里所说的关键一步你生成的服务器端是没法用的,先卖个关子,按照我说的方法免杀服务器端的话,我们就不用在为CLL等定位所有的杀毒软件的特征代码再搞免杀了,你说繁不繁啊!!!我今天说的这个经验是在黑防鸽子鸽子被杀后,用的免杀处理方法,我的到现在都没给杀过,只要我们每个人自己动手,做免杀,杀毒软件还会那么强吗?
现在说说这里的关键,我今天要做的是CServer.dat的免杀,但我们要用黑防鸽子先生成一个服务器端(我就用黑防下载的生成,不用我搞过免杀的H_Client.exe生成了,其实一样的),看我操作,点击配置服务器端,上线IP就随便搞一个吧,就111.111.111.111吧,其他的不添了,反正没用,生成。我们接下来就是要对生成的这个服务器端做免杀,大家可能在网上也看到“只要对CSERVER.DAT做免杀,就可以免杀服务器端了”,但是按照我的方法做免杀是不能直接用CSERVER.DAT这个文件的,大家看完教程也可以测试一下,我只用生成的服务器端来做免杀,做好后修改一下资源,在改名为CSERVER.DAT放到Cache目录中,以后大家就可以直接生成免杀服务器端了,不是很方便吗?生成服务器端文件后要加壳的话,可以用一些压缩壳比较好,有些加密的可能不能对它加密了。
好了 我们开工吧 呵呵
我们打开Ollydbg,然后找到刚才生成的Server.exe载入,程序中断在入口:
004A1E48> $ 55 PUSH EBP //程序入口
004A1E49 . 8BEC MOV EBP,ESP
004A1E4B . B9 040****0000 MOV ECX,4
004A1E50 > 6A 00 PUSH 0
004A1E52 . 6A 00 PUSH 0
004A1E54 . 49 DEC ECX
004A1E55 .^ 75F9 JNZ SHORT Server.004A1E50
004A1E57 . 51 PUSH ECX
004A1E58 . 53 PUSH EBX
004A1E59 . 56 PUSH ESI
004A1E5A . 57 PUSH EDI
004A1E5B . B8 101A4A00 MOV EAX,Server.004A1A10
004A1E60 . E8EF4CF6FF CALL Server.00***06B54
我们现在就选取3行吧,你可以随便搞几行,复制选取:
004A1E48> $ 55 PUSH EBP //从入口开始选几行
004A1E49 . 8BEC MOV EBP,ESP
004A1E4B . B9 040****0000 MOV ECX,4
好了, 我们把他NOP掉。呵呵
现在我们往下找零区域,零区域大家都应该知道的咯,我们就选取这一地址004A2247 00 DB 00,
把上面的这三行汇编代码从上面的地址开始加入,在加入一行跳转到原来的004A1E50 > 6A 00 PUSH 0这个地址,都明白什么意思的吧。代码JMP 004A1E50,然后复制所有修改保存,但我们在选择复制所有修改保存时跳出来的提示是“可执行文件中无法定位数据”的提示。这个怎么办呢,不能修改啊,那我们先给CServer.exe加个区段,我们就用木马彩衣免杀版来加个吧。看掩饰:
打开木马彩衣免杀版.exe,选择打开Server.exe,选中只加区段,我们写个区段名,就火龙吧,区段大小100就够了。然后穿上,就ok了。
接下来我们用PEiD打开Server.exe,点区段旁边的按钮查看区段,看到我们刚才加的火龙这个段了吧,把这个地址000c2000记住,我们还有用了, 我们再次用Ollydbg载入Server.exe,入口还是停在原来的地址,我们用ctrl+g,找到004c2000这个地址,这里就是我们刚才加的火龙区段了,在这里随便选个地址,我们这里就选004C2010 0000 ADD BYTE PTR DS:[EAX],AL这个地址,然后象刚才的操作加入下面3行汇编代码:
004A1E48> $ 55 PUSH EBP
004A1E49 . 8BEC MOV EBP,ESP
004A1E4B . B9 040****0000 MOV ECX,4
再跳转JMP 004A1E50,现在能保存了吧,哈哈。
接下来就是用PEditor.exe修改入口地址了,用PEditor.exe载入刚才我们另存的文件Server2.exe,把入口地址改为000C2010这个。然后应用更改。
现在查杀的话还会被杀,我还是用Ollydbg载入Server2.exe,这时中断在新的入口了:
004C2010> 55 PUSH EBP //新的入口
004C2011 8BEC MOV EBP,ESP
004C2013 B9 040****0000 MOV ECX,4
004C2018- E9 33FEFDFF JMP Server2.004A1E50
004C201D 0000 ADD BYTE PTR DS:[EAX],AL
004C201F 0000 ADD BYTE PTR DS:[EAX],AL
004C2021 0000 ADD BYTE PTR DS:[EAX],AL
我再随便加入一段花指令:
004C2037 55 PUSH EBP
004C2038 8BEC MOV EBP,ESP
004C203A 83C4F4 ADD ESP,-0C
004C203D 83C4 0C ADD ESP,0C
004C2040 B8 4B204C00 MOV EAX,004C204B
004C2045 50 PUSH EAX
004C2046 C3 RETN
004C2047^ EB C7 JMP 004C2010
004C2049^ EB EC JMP 004C2037
004C204B ^ EB FA JMP 004C2047
004C204D ^ EB E8 JMP 004C2037 //新的入口
保存文件,再用PEditor.exe修改入口点为000C204D保存,花指令大家可以自己发挥了。我们再试试查杀怎么样了,先看咔吧,我的咔吧病毒库2006-02-06,过了吧,哈哈很简单吧,在看看江民,也过了,大家最关心的还是瑞星的内存吧,不要急,文件就不用看了吧,现在我们查查内存,首先我们用Ollydbg载入,打开瑞星查杀内存,还是被杀了,大家不要失望,我说过不用CLL就能不用它,其实这样改过入口、加过花的搞内存免杀很好搞的,就算你要用CLL也是很容易定位出来的,我就不演示了,接下来我说说不用CLL怎么搞内存免杀吧,我们不是还有加壳吗,但不能对这个加壳,我们是要用它来生成服务器端的,加了壳不能用做CSERVER.DAT这个了,假如我们就当它为服务器端用的话,我们就加个北斗吧,看演示:
Server2.exe压缩后为270KB (276,567字节) ,还是很不错哦!接下来我们用Ollydbg载入,在查杀内存,看结果如何!!
不再被杀了吧!!爽吧!没用CLL就过了吧。
但是我们今天的目标是CSERVER.DAT免杀,来生成免杀的服务端,在我们把Server2.exe改名为CSERVER.DAT时前,我们还要做件事,就是修改上线配置信息,假如不修改的话新的配置信息没法写入到新生成的服务器端中哦。我们在对用这个文件生成的服务器端加壳,那我们的鸽子就全免杀了。哈哈哈!!看我演示:
我们要用到ResHacker了,搞过鸽子的人都知道吧,我们载入Server2.exe后,吧RC数据中的hacker给删了,就可以了。
我们把修改过的Server2.exe改名为CSERVER.DAT放到Cache目录中,运行鸽子客户端后,生成服务器端,再加个壳看看情况如何。看演示:
好了 我们来验证下好不好用。
运行可以上线。
00***02eb4 2eca
鸽子的一些内存特征,我就不演示定位了,我们也可以修改这些特征码后再加个壳。
000****5634 5643
000****5648 5666
000****8054 5805b
00***74cd 97***20
000a1567a1573
000a1578a15b8
鸽子过专杀+服务端免杀+Cserver.dat免杀
http://www.hack58.com/Soft/html/9/88/2006/200606286746.htm
不错,不然每次生成新的都要免杀就麻贵烦..
花指令可以任意+吗,平衡的话.............
还有就是OD改完后如何保存成EXE文件
我想问下 360安全卫士 怎么过呢?
现在360杀鸽子好是厉害
这个方法太多,网上有的是...................
是啊~ 做黑客可不能太懒的啊~:
哈哈,我的鸽子就是这么做的
下载不了!~
]~!@怎么回事啊````
DAT免杀还不简单?
就跟普通PE文件的免杀差不多,不过注意,不能加壳,加花不要影响原结构,不要加密
那就只能用特征码定位啦,不过改特征码的时候要注意,用跳转法修改特征码时不要动要覆盖的地址(就是生成时导入信息)
后缀名改成EXE 然后使用MYccl定位----修改特征码。
说的对
我也用这办法还有教程在原创区里
喜欢这办法
不错...强烈支持...希望个个都成免杀高手... |
|
