标题:
新手免杀套路
[打印本页]
作者:
dsa3027235
时间:
2009-5-20 09:39
标题:
新手免杀套路
以灰鸽子为例
1. 鸽子服务端默认安装路径设置
默认安装路径:$(winDir)\hacker.com.cn
为增强隐藏性设置成:$(winDir)\system32\winine.exe
2. 服务显示名的设置技巧:尽量伪装成与系统类似的服务.
显示名称:winine
服务名称:winine
描述信息:提供域名解析服务
第一步:改特征码这样免杀时间久(高手都用这个方法,不过你要定位那么多杀!软的特征码也够累的,除非自己用。)
第二步:加密或者加壳(加那些猛壳,生壳,对某种杀软有特效的壳)。比如: 北斗VMProtect对瑞星有特效。
第三步:壳本身的修改(壳中加花,壳中加区加花)
特征码修改
DESCRIPTION (这里有3处修改2处)
DDRERTDASD
HACKER (这里有2处全部修改)
GASDAA
PACKAGEINFO (这里有1处全部修改)
SADFYDNIFND
TMAINFORMVER2 (这里有3处全部修改)
FGDIFGFDGDGGF
灰鸽子远程控制服务端安装成功
我就是在这个鸽子的基础上做免
:\Program Files\Internet Explorer\IEXPLORE.EXE 改成-
:\windows\system32\svchost.exe 其余的用0填充
IEXPLORE.EXE 改成--
svchost.exe 其余的用0填充
DFHRVG.com.cn_MUTEX 用0填充
把里面的DVCLAL无用资源,PACKGEINFO也是无用资源,把它删除。然后保存
卡巴查杀很强(内存特征码跟文件特征码差不多),瑞星内存厉害(内存特征码跟文件特征码就不一样),特别对鸽子。金山数据流杀毒也不错。诺顿查文件头。只要打乱文件头就可以免杀,诺顿的特征码是一串的(很特别,要都改才行)。再者,有的人在零区域加花后。不能用MaskPE加密,但是有种加花是可以的。那就是一句话jmp跳转,就可以用MaskPE加密了。在这里。我推荐大家用MaskPE UPX壳 北斗 VMProtect ASProtect 这几个工具。因为它们的兼容性比较好,做免杀的必备的工具.
[
本帖最后由 dsa3027235 于 2009-5-20 09:43 编辑
]
作者:
__┇靈魂"
时间:
2009-5-20 20:43
好像看的动点点。以前玩过几天灰鸽子。
作者:
zrz444
时间:
2009-5-24 07:59
不错的经验..
作者:
EndTo偌枫
时间:
2009-5-27 07:55
比较适合新手吧
作者:
hilarylove
时间:
2009-5-28 02:25
这些应该现在有的不可以吧。比较早前的了。现在觉得鸽子没有上兴好
作者:
EndTo偌枫
时间:
2009-5-29 07:37
的确是比较简单的免杀套路 值得期待高级级别的
作者:
chenqi0701
时间:
2009-6-2 23:54
常来看看.真的学好多东西
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2