返回列表 发帖

新手免杀套路

以灰鸽子为例
1. 鸽子服务端默认安装路径设置
                          默认安装路径:$(winDir)\hacker.com.cn
                          为增强隐藏性设置成:$(winDir)\system32\winine.exe
                                                                                                  
  2. 服务显示名的设置技巧:尽量伪装成与系统类似的服务.
                          显示名称:winine
                          服务名称:winine
                          描述信息:提供域名解析服务
                                      
     
      第一步:改特征码这样免杀时间久(高手都用这个方法,不过你要定位那么多杀!软的特征码也够累的,除非自己用。)

      第二步:加密或者加壳(加那些猛壳,生壳,对某种杀软有特效的壳)。比如: 北斗VMProtect对瑞星有特效。
                                          
      第三步:壳本身的修改(壳中加花,壳中加区加花)

            特征码修改
                       DESCRIPTION (这里有3处修改2处)
                       DDRERTDASD

                       HACKER (这里有2处全部修改)
                       GASDAA

                       PACKAGEINFO (这里有1处全部修改)
                       SADFYDNIFND

                       TMAINFORMVER2 (这里有3处全部修改)
                       FGDIFGFDGDGGF
                                                                                                   
                  

                       灰鸽子远程控制服务端安装成功
                       我就是在这个鸽子的基础上做免
                       
                       :\Program Files\Internet Explorer\IEXPLORE.EXE  改成-
                       :\windows\system32\svchost.exe  其余的用0填充
                       
                       IEXPLORE.EXE  改成--
                       svchost.exe   其余的用0填充
                       
                       DFHRVG.com.cn_MUTEX  用0填充

    把里面的DVCLAL无用资源,PACKGEINFO也是无用资源,把它删除。然后保存
卡巴查杀很强(内存特征码跟文件特征码差不多),瑞星内存厉害(内存特征码跟文件特征码就不一样),特别对鸽子。金山数据流杀毒也不错。诺顿查文件头。只要打乱文件头就可以免杀,诺顿的特征码是一串的(很特别,要都改才行)。再者,有的人在零区域加花后。不能用MaskPE加密,但是有种加花是可以的。那就是一句话jmp跳转,就可以用MaskPE加密了。在这里。我推荐大家用MaskPE       UPX壳  北斗 VMProtect  ASProtect  这几个工具。因为它们的兼容性比较好,做免杀的必备的工具.

[ 本帖最后由 dsa3027235 于 2009-5-20 09:43 编辑 ]
1

评分人数

  • 1335csy

常来看看.真的学好多东西

TOP

的确是比较简单的免杀套路  值得期待高级级别的

TOP

这些应该现在有的不可以吧。比较早前的了。现在觉得鸽子没有上兴好
花前月下,不如花钱“日”下~~~

TOP

比较适合新手吧

TOP

不错的经验..

TOP

好像看的动点点。以前玩过几天灰鸽子。

TOP

返回列表