【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: 新手免杀套路 [打印本页]

作者: dsa3027235 时间: 2009-5-20 09:39 标题: 新手免杀套路

以灰鸽子为例
1. 鸽子服务端默认安装路径设置
                        默认安装路径:$(winDir)\hacker.com.cn
                        为增强隐藏性设置成:$(winDir)\system32\winine.exe

  2. 服务显示名的设置技巧:尽量伪装成与系统类似的服务.
                        显示名称:winine
                        服务名称:winine
                        描述信息:提供域名解析服务


   第一步：改特征码这样免杀时间久（高手都用这个方法，不过你要定位那么多杀!软的特征码也够累的，除非自己用。）

   第二步：加密或者加壳（加那些猛壳，生壳，对某种杀软有特效的壳）。比如：北斗VMProtect对瑞星有特效。

   第三步：壳本身的修改（壳中加花，壳中加区加花）

         特征码修改
                     DESCRIPTION （这里有3处修改2处）
                     DDRERTDASD

                     HACKER (这里有2处全部修改)
                     GASDAA

                     PACKAGEINFO (这里有1处全部修改)
                     SADFYDNIFND

                     TMAINFORMVER2 (这里有3处全部修改)
                     FGDIFGFDGDGGF



                     灰鸽子远程控制服务端安装成功
                     我就是在这个鸽子的基础上做免

                     :\Program Files\Internet Explorer\IEXPLORE.EXE  改成-
                     :\windows\system32\svchost.exe  其余的用0填充

                     IEXPLORE.EXE  改成--
                     svchost.exe 其余的用0填充

                     DFHRVG.com.cn_MUTEX  用0填充

把里面的DVCLAL无用资源，PACKGEINFO也是无用资源，把它删除。然后保存
卡巴查杀很强（内存特征码跟文件特征码差不多），瑞星内存厉害（内存特征码跟文件特征码就不一样），特别对鸽子。金山数据流杀毒也不错。诺顿查文件头。只要打乱文件头就可以免杀，诺顿的特征码是一串的（很特别，要都改才行）。再者，有的人在零区域加花后。不能用MaskPE加密，但是有种加花是可以的。那就是一句话jmp跳转，就可以用MaskPE加密了。在这里。我推荐大家用MaskPE    UPX壳  北斗 VMProtect  ASProtect  这几个工具。因为它们的兼容性比较好，做免杀的必备的工具.

[ 本帖最后由 dsa3027235 于 2009-5-20 09:43 编辑 ]

作者: __┇靈魂＂ 时间: 2009-5-20 20:43

好像看的动点点。以前玩过几天灰鸽子。

作者: zrz444 时间: 2009-5-24 07:59

不错的经验..

作者: EndTo偌枫 时间: 2009-5-27 07:55

比较适合新手吧

作者: hilarylove 时间: 2009-5-28 02:25

这些应该现在有的不可以吧。比较早前的了。现在觉得鸽子没有上兴好

作者: EndTo偌枫 时间: 2009-5-29 07:37

的确是比较简单的免杀套路值得期待高级级别的

作者: chenqi0701 时间: 2009-6-2 23:54

常来看看.真的学好多东西

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com./)