黑防鸽子完美的菜鸟级免杀

黑防鸽子完美的菜鸟级免杀

正题。 用到的7款工具。 ollydbg     反汇编工具 c32asm     16进制编辑工具，改进程用的 PEditor     修改头要用到的 另外4款加密加壳工具 maskpe2.0 vmprotect1.22 PolyCrypt PE 华夏免疫2.2 工具新世纪网安都有都有下载的。 1.修改进程过专杀。 用c32asm载入文件，选16进制模式。 搜索:/Program Files/Internet Explorer/IEXPLORE.EXE 修改为:/windows/system32/services.exe 用16位填充修改后多余的数据 再次搜索IEXPLORE.EXE 修改成services.exe 把后边的Hacker.com.cn_MUTEX用16位填充掉 文字也填充掉，最后保存。这样就可以过专杀了，但是瑞星专杀是过不了的。我看别人的专杀视频可以过，不知道我这样做的为什么过不了。。。。。。不过我用后面的加密工具后就可以过它的。 其实你还可以改下版权把黑防专版改成自己的。 2.先入口点加一，用OD载入改入口点，这里是用jmp转移入口点。 如果不会这一步的朋友就跳过吧，不怎么影响效果的。看我操作吧 004A1E49 > . 8BEC         MOV EBP,ESP 004A1E4B     . B9 04000000     MOV ECX,4 004A1E50     > 6A 00         PUSH 0 头的地址，我们把它转移了，找段00的空白区域写进去 00474B61       00           DB 00 从这里开始吧 可以正常上线。 3.用maskpe加密，随便选择哪个都可以，我就选第一个吧。生成另外一个文件ms.exe 4.用peditor载入查看入口点记录下来。 用vmprotect载入ms.exe，在空白处点右键,添加地址等于入口点000C2031加镜像基址00400000，也就是把第三个0改成4.即004C2031     随便选段然后点右键程序末端，再点下绿色的三角按钮编译。 5.用PolyCrypt PE进行加密。是英文版的。因为免费的只有英文版的，有汉化版的不过是要收费的，只有内部人员才搞得到。 open file(打开文件） encrypt file(加密文件） options(选项），不用管它，用默认的就可以了。 先点regenerate encrytion keys(生成加密钥匙） 然后再点re-generate random code(生成随机代码）。 完成后点encrypt file,这样文件就被加密了。 6.最后一步加壳加密用 华夏免疫2.2，不用加花，选择nothing found,信息选项里面，不用备份文件，看自己需要选择。选上随机产生节名。 7.由于这个壳是被卡巴杀的，所以要稍微修改下才能躲过卡巴的。 这步一定要做，用到的是一句话加花指令。 首先用OD载入记录入口点004D13EE 然后找个00区域，这里比较方便，就是上面一段有，我选 004D13DF 这个吧，点右键汇编，填入jmp 入口地址 也就是jmp 004D13EE，最后保存。 然后用peditor载入，把入口点改成004D13DF减去镜像地址00400000 也就是000D13DF.应用更改。 这样卡巴就过了，看看。 我们来测试下免杀效果。 卡巴先，看我病毒库，最新的。 注意这里看主动防御。我全部都选上了。 上线了，卡巴却一点反应都没有，呵呵。 再来看瑞星，表面     ，内存 过了。 还有江民，金山我就不测试了，机子上没装。我在网上在线测试过，结果是一样能过。 最后当然是去全球杀软考验下。 http://www.virustotal.com/en/indexf.html 为了不让大家等待，我事先上传好了。如果大家怀疑结果可以把自己按我方法做的鸽子拿去检查。 注意一点的是记得在distribute的地方点下，要出现一个红色的线，这样你上传的文件就不会被拿去各个杀软公司检验，懂英语应该看的懂，不懂的我给大家提醒下，不然我们的免杀鸽子就暴露被查了。 30款全球级的杀软，里面也有大家熟悉的 ewido kaspersky mcafee nod32 panda symantec 这几款大家应该耳熟吧，也是国内用的比较多的国外著名的杀软。 当然了，如果全部是no virus found也失去了意义。毕竟我们加了那么多密，有些软件就专门查特定的壳，如果加了那个壳就认定它是什么什么可疑文件，我们的卡巴大叔也是一样一眼就认定加了华夏免疫壳的就是灰鸽子。。。正常文件只要加个这样的壳都会被认定是木马病毒了，何况我们的灰鸽子呢。 Win32:PePatch-CD，可以看到avast是查杀这个壳的，但是他也不知道里面藏的是什么，呵呵。 suspicious Trojan/Worm eSafe查到的，我拿上来测试的免杀鸽子都是给这样的结果。可疑的木马/病毒，太敷衍了，呵呵。 其他的就不介绍了，总之是没有一个查到是灰鸽子的。 最后一步大家也可以再用北斗压压，不过怎么压体积也是减少不了的，这也算是比较遗憾的吧，原因是用了PolyCrypt PE这个加密壳，这个壳的兼容性不错，可以在加了这个壳的基础上在加别的壳不会破坏程序，我这是加的华夏免疫壳。 因为比较完美讲的比较详细所以花的时间比较多，耽误了哦。其实这些步骤都比较简单，没有用到复杂的特征码定位然后修改，也没有用到手动加花，很适合菜鸟朋友们学习打造免杀鸽子。 这样的一个鸽子少说也可以卖个上百吧^_^开玩笑了，现在免费送给大家。 最后提醒那些菜鸟朋友们：技术是死的，人是活的，只要大家肯多思考，多花时间总结，多尝试肯定会打造一只个人超强免杀的鸽子，毕竟工具是非常的多，只要我们能合理的利用就行了。还有一点提醒大家就是不要用学到的技术去搞破坏，本人鄙视这样的行为，学免杀只是为了技术的交流和进步，而不是抓鸡搞破坏。