标题:
绝杀360
[打印本页]
作者:
业余人
时间:
2010-3-19 17:32
标题:
绝杀360
最近在过360杀毒
。exe和。dll都过了 就是生成的服务端不过
我也定位过特征码,但无论怎么正向和反向定位,定位在配置信息上
360就是追着杀
改了之后要不不上线,要不就不免杀。
没法了 就到处去溜溜 看到了这篇文章
只改了一个地方 360就不响了 晕 真郁闷
360还是不行啊
Pcshare绝杀360杀软2009-07-02 22:40(转)PCshare绝杀360杀软
相信做过Pcshare免杀360的都知道这个免杀是有点难度的,今天我们就让360的免杀过程变成傻瓜化
在免杀360杀软之前,我也定位过特征码,但无论怎么正向和反向定位,360就是追着杀
改了之后要不不上线,要不就不免杀。既然它来的是阴招,那我们也给它来点阴的吧 ^_^
我们就不去定位Pcshare的特征码了,因为定位出来也免杀不了
那怎么办呢,其实这个方法在我以前的一个驱动免杀的教程也提过,不定位特征码就可以免杀掉360杀毒
每个木马都有每个木马的特色,Pcshare的服务端就有很多特色
004004F0: 55 PUSH EBP
004004F1: 8BEC MOV EBP,ESP
004004F3: 83EC 1C SUB ESP,1C
004004F6: 53 PUSH EBX
004004F7: 56 PUSH ESI
004004F8: 57 PUSH EDI
004004F9: 894D E4 MOV [EBP-1C],ECX
004004FC: 50 PUSH EAX
004004FD: 33C0 XOR EAX,EAX
004004FF: 33C0 XOR EAX,EAX
00400501: 33C0 XOR EAX,EAX
00400503: 33C0 XOR EAX,EAX
00400505: 33C0 XOR EAX,EAX
00400507: 33C0 XOR EAX,EAX
00400509: 0F84 03000000 JE 00400512
相信这样的指令大家都见过吧,就是有很多的XOR EAX,EAX,其实这些XOR EAX,EAX减少几个也是没问题的
如果到了不得以的时候,去掉几个XOR EAX,EAX就可以得到免杀的目的了
最主要的是那个JE,这个用的好的话,可以取得很多的方便的
记住一句话:看到了JE就可以改为JZ(当然并不是看到了je就能成功的改为jz的)
我们就是利用这个来达到免杀360杀软的目的的。把PcInit.exe和PcMain.dll里的je全改为jz
当然你喜欢的话也可以把PcHide.sys里的je也全改为jz,没人会责怪你的 ^_^
je和jz是完全等价的,不过je占用的字节数较多,jz占用的字节数较少罢了
如果我们把je改为jz的话,那不等于多出来了很多字节吗?这对我们的木马免杀也是很有用处的
大家也可以用快捷键来做,这样快点
对应汇编模式编辑:Ctrl+Q
查找下一个0F84:F3
汇编:shift+A
改多了就知道这样的就可以成功的把je改为jz
JE 0040189E
OUT E8,EAX //下面是一个out指令的就可以
现在就来改吧
用C32打开木马,搜索十六进制0F84,再点右键“对应汇编模式编辑”,把je改为jz即可,改后
会多出4个nop指令,多出来的nop在我们免杀的时候是有利用价值的
就这样改呀改,一直到把整个木马里能找到的全改好了,就能免杀360了...
PcMain.dll里的je没一百个也有九十个吧,我就不一个一个的改了,太多了,大家自己去改吧
改完后绝对能免杀掉360的
改后测试下,免杀了吧 呵呵
作者:
冷酷鲨鱼
时间:
2010-4-19 20:14
我没看错就是发错地方了。
作者:
xiaoding
时间:
2010-4-27 13:57
dhzdfhnxdgnxdgcv
作者:
521125
时间:
2010-5-8 19:39
学习一下 帮不上你的忙 不好意思
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2