传奇解决登陆器报毒360秒过百度杀毒 金山 卡吧 远控免杀技术

最新推荐文章于 2024-08-04 18:00:11 发布
最新推荐文章于 2024-08-04 18:00:11 发布
阅读量1w 收藏 1
点赞数 1
文章标签: 百度 金山 杀毒 360 淘宝
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014594824/article/details/41758761
版权

传奇解决登陆器报毒360秒过百度杀毒 金山 卡吧 远控免杀技术

由于部分语言开发导致 杀软误报 使用本工作室研究得知误报分析代码

一、查壳
  PEiD查出壳为PECompact 2.5 Retail -> Jeremy Collake

  二、找OEP
  设置Ollydbg忽略所有的异常选项,载入PECompact 2.55.EXE文件,提示“你仍要继续分析吗?”选“否”。

01001000 >  B8 90BA0101         mov     eax, PECompac.0101BA90        ; 载入时停在这里,F8单走
01001005    50                  push    eax
01001006    64:FF35 00000000    push    dword ptr fs:[0]
0100100D    64:8925 00000000    mov     dword ptr fs:[0], esp
01001014    33C0                xor     eax, eax
01001016    8908                mov     dword ptr ds:[eax], ecx       ; 这行F8后自动跳转
01001018    50                  push    eax                     
01001019    45                  inc     ebp
0100101A    43                  inc     ebx

7C92E480  |.  8B1C24            mov     ebx, dword ptr ss:[esp]       ; 自动跳转到这里。此处是系统空间,不可Alt+F9回到用户代码,否则后面会无法继续跟踪,加密惹的祸^_^,继续F8
7C92E483  |.  51                push    ecx
7C92E484  |.  53                push    ebx
7C92E485  |.  E8 B35A0200       call    ntdll.7C953F3D                ; 可F8步过
7C92E48A  |.  0AC0              or      al, al
7C92E48C  |.  74 0C             je      short ntdll.7C92E49A
7C92E48E  |.  5B                pop     ebx
7C92E48F  |.  59                pop     ecx
7C92E490  |.  6A 00             push    0
7C92E492  |.  51                push    ecx
7C92E493  |.  E8 C6EBFFFF       call    ntdll.ZwContinue              ; 必须F7跟进!否则一直停在“运行”状态无法继续
7C92E498  |.  EB 0B             jmp     short ntdll.7C92E4A5
7C92E49A  |>  5B                pop     ebx
7C92E49B  |.  59                pop     ecx

7C92D05E >/$  B8 20000000       mov     eax, 20                       ; 跟进到了这里,继续F8
7C92D063  |.  BA 0003FE7F       mov     edx, 7FFE0300
7C92D068  |.  FF12              call    dword ptr ds:[edx]            ; 必须F7跟进!否则一直停在“运行”状态无法继续
7C92D06A  \.  C2 0800           retn    8
7C92D06D      90                nop

7C92E510 >/$  8BD4              mov     edx, esp                      ; 跟进到了这里
7C92E512  |.  0F34              sysenter                              ; 这行F8后自动跳转
7C92E514 >\$  C3                retn
7C92E515   .  8DA424 00000000   lea     esp, dword ptr ss:[esp]
7C92E51C   .  8D6424 00         lea     esp, dword ptr ss:[esp]

0101BAB3    B8 97A801F1         mov     eax, F101A897                 ; 跳到了这里,继续F8
0101BAB8    64:8F05 00000000    pop     dword ptr fs:[0]
0101BABF    83C4 04             add     esp, 4
0101BAC2    55                  push    ebp
0101BAC3    53                  push    ebx
0101BAC4    51                  push    ecx
0101BAC5    57                  push    edi
0101BAC6    56                  push    esi
0101BAC7    52                  push    edx
0101BAC8    8D98 D5110010       lea     ebx, dword ptr ds:[eax+100011>
0101BACE    8B53 18             mov     edx, dword ptr ds:[ebx+18]
0101BAD1    52                  push    edx
0101BAD2    8BE8                mov     ebp, eax
0101BAD4    6A 40               push    40
0101BAD6    68 00100000         push    1000
0101BADB    FF73 04             push    dword ptr ds:[ebx+4]
0101BADE    6A 00               push    0
0101BAE0    8B4B 10             mov     ecx, dword ptr ds:[ebx+10]
0101BAE3    03CA                add     ecx, edx
0101BAE5    8B01                mov     eax, dword ptr ds:[ecx]
0101BAE7    FFD0                call    eax                           ; F8过
0101BAE9    5A                  pop     edx
0101BAEA    8BF8                mov     edi, eax
0101BAEC    50                  push    eax
0101BAED    52                  push    edx
0101BAEE    8B33                mov     esi, dword ptr ds:[ebx]
0101BAF0    8B43 20             mov     eax, dword ptr ds:[ebx+20]
0101BAF3    03C2                add     eax, edx
0101BAF5    8B08                mov     ecx, dword ptr ds:[eax]
0101BAF7    894B 20             mov     dword ptr ds:[ebx+20], ecx
0101BAFA    8B43 1C             mov     eax, dword ptr ds:[ebx+1C]
0101BAFD    03C2                add     eax, edx
0101BAFF    8B08                mov     ecx, dword ptr ds:[eax]
0101BB01    894B 1C             mov     dword ptr ds:[ebx+1C], ecx
0101BB04    03F2                add     esi, edx
0101BB06    8B4B 0C             mov     ecx, dword ptr ds:[ebx+C]
0101BB09    03CA                add     ecx, edx
0101BB0B    8D43 1C             lea     eax, dword ptr ds:[ebx+1C]
0101BB0E    50                  push    eax
0101BB0F    57                  push    edi
0101BB10    56                  push    esi
0101BB11    FFD1                call    ecx                           ; F8过
0101BB13    5A                  pop     edx
0101BB14    58                  pop     eax
0101BB15    0343 08             add     eax, dword ptr ds:[ebx+8]
0101BB18    8BF8                mov     edi, eax
0101BB1A    52                  push    edx
0101BB1B    8BF0                mov     esi, eax
0101BB1D    8B46 FC             mov     eax, dword ptr ds:[esi-4]
0101BB20    83C0 04             add     eax, 4
0101BB23    2BF0                sub     esi, eax
0101BB25    8956 08             mov     dword ptr ds:[esi+8], edx
0101BB28    8B4B 10             mov     ecx, dword ptr ds:[ebx+10]
0101BB2B    894E 24             mov     dword ptr ds:[esi+24], ecx
0101BB2E    8B4B 14             mov     ecx, dword ptr ds:[ebx+14]
0101BB31    51                  push    ecx
0101BB32    894E 28             mov     dword ptr ds:[esi+28], ecx
0101BB35    8B4B 0C             mov     ecx, dword ptr ds:[ebx+C]
0101BB38    894E 14             mov     dword ptr ds:[esi+14], ecx
0101BB3B    FFD7                call    edi                           ; F8过,寄存器窗口有较大的变化
0101BB3D    8985 C8120010       mov     dword ptr ss:[ebp+100012C8], >
0101BB43    8BF0                mov     esi, eax
0101BB45    59                  pop     ecx
0101BB46    5A                  pop     edx
0101BB47    EB 0C               jmp     short PECompac.0101BB55
0101BB49    03CA                add     ecx, edx
0101BB4B    68 00800000         push    8000                          ; 这里就是老师说的特征码!OEP就在附近!
0101BB50    6A 00               push    0
0101BB52    57                  push    edi
0101BB53    FF11                call    dword ptr ds:[ecx]
0101BB55    8BC6                mov     eax, esi
0101BB57    5A                  pop     edx
0101BB58    5E                  pop     esi
0101BB59    5F                  pop     edi
0101BB5A    59                  pop     ecx
0101BB5B    5B                  pop     ebx
0101BB5C    5D                  pop     ebp
0101BB5D  - FFE0                jmp     eax                           ; 跳往OEP!
0101BB5F    9D                  popfd
0101BB60    73 00               jnb     short PECompac.0101BB62
0101BB62    0100                add     dword ptr ds:[eax], eax
0101BB64    0000                add     byte ptr ds:[eax], al
0101BB66    0000                add     byte ptr ds:[eax], al

0100739D    6A 70               push    70                            ; 这里就是OEP!
0100739F    68 98180001         push    PECompac.01001898
010073A4    E8 BF010000         call    PECompac.01007568
010073A9    33DB                xor     ebx, ebx
010073AB    53                  push    ebx
010073AC    8B3D CC100001       mov     edi, dword ptr ds:[10010CC]   ; kernel32.GetModuleHandleA  免费杀处理 10010CC 处理 10010PC 
010073B2    FFD7                call    edi

别以为以上代码只是普通的脱壳方式  使用 脱壳方式来修改值一样有免杀效果


不懂的联系

QQ 382913699

电话:18316718418

淘宝:http://981gzs.taobao.com






981网络工作室
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
免杀思路总结
LiBai'S BLOG
05-12 1万+
免杀思路总结 1.免杀技术简介 1.免杀的重要性 2.免杀的难度 3.杀毒软件的排行 国外 国内 1 、Bitdefender 1、360 2 、Norton 360 2、智量安全(没测过,据说很厉害) 3 、Kaspersky 3、火绒安全 4 、Webroot 4、金山独霸 5 、Trend Micro 5
如何让我们的软件跳过360金山毒霸的“随意拦截”?
dvlinker的技术专栏
10-10 6660
如何让我们的软件跳过360金山毒霸的“随意拦截”。
Go测试远控免杀学习
paidx0
05-07 1990
Go远控免杀学习
开发的软件被360报毒怎么办?
William1234er的博客
06-18 560
您开发的软件在下载时,有没有遇到被360安全卫士或其他安全软件报毒?这可能是因为该软件被误报为病毒,需要您为其进行数字签名——也就是使用代码签名证书!
Shellcode免杀,绕过360安全卫士、火绒安全、腾讯管家
热门推荐
qq_1873822的博客
08-22 1万+
前言 分享一个傻瓜式直接套用大佬的框架进行shellcode免杀,自己还是萌新还需要学习很多东西,大佬们不喜勿喷 杀毒原理 360、腾讯电脑管家、火绒剑、金山毒霸、瑞星等等,这几个杀毒软件领头羊,现在的杀毒软件都无法脱离三个部分,扫描器、病毒库、虚拟机。然而一个杀毒软件做的是否好用,最主要的还是扫描器的速度、准确率以及病毒库是否庞大。 1.基于特征码的静态扫描技术 这种技术很容易被人想到,所以第一代的杀毒软件出现了,他们的杀毒思想就是,我只要匹配到特征字符串就可以判断出来这个文件是一个病毒。但这种方法在当今
六款最好的免费杀毒软件
啊渊的专栏
06-23 3026
通过以上链接,你可以获取最新版的360安全卫士并进行安装。安装后,建议你定期更新病毒库和软件版本,以确保获得最佳的保护效果。通过以上链接,你可以获取最新版的腾讯电脑管家并进行安装。安装后,建议你定期更新病毒库和软件版本,以确保获得最佳的保护效果。通过以上链接,你可以获取最新版的Comodo并进行安装。安装后,建议你定期更新病毒库和软件版本,以确保获得最佳的保护效果。通过以上链接,你可以获取最新版的金山毒霸并进行安装。安装后,建议你定期更新病毒库和软件版本,以确保获得最佳的保护效果。
python生成exe 被杀毒软件查杀_Metasploit+python生成免杀exe过360杀毒
weixin_33726387的博客
02-10 1502
from ctypes import *import ctypesbuf= ""buf+= "\xbb\x7a\x62\x0a\x22\xdb\xc9\xd9\x74\x24\xf4\x58\x29"buf+= "\xc9\xb1\x97\x31\x58\x15\x03\x58\x15\x83\xe8\xfc\xe2"buf+= "\x8f\xdc\x50\xbc\x22\x5d\xbf\x0c...
Msfvenom编码免杀技术实现免杀实战
weixin_43062666的博客
07-10 2932
免杀技术在网络渗透的实战中十分实用,本文将介绍使用msfvenom自带编码免杀工具进行编码免杀,从而实现绕过杀毒软件获得shell的具体方法。 按照文中所讲述的方法制作的木马载荷可以绕开国内所使用的大多数杀毒软件,包括但不限于火绒,腾讯,百度金山,virustotal沙箱查杀率12,简单但实用...
远控软件GHOST源码免杀
testalllife的专栏
10-19 1万+
远控软件gh0st源码免杀远控软件gh0st3.6开源了,开源意味着我们可以在此基础上进行二次开发,同时也意味着杀软可以较容易的查杀该款远控木马,既然要利用,我们就做好源码基础上的木马免杀工作。 好久没有来博客了,我把免杀这部分整理了一下,先抛一砖头,有兴趣的朋友可以接着做,也可以和本人交流。 序 gh0st远控软件采用驱动级RESSDT过主
最新技术实战 | 无视杀软使用远控工具进行横向移动Tips
代码讲故事
01-27 1040
最新技术实战 | 无视杀软使用远控工具进行横向移动Tips。 杀软是什么意思?杀软是杀毒软件的简称,取的杀毒首字与软件首字组合而成,将杀毒软件简要的称之为杀软,所以,杀软的意思就是杀毒软件,专注于信息领域安全的软件。
最新免杀远控(过金山巴瑞星主流杀软)不过360实时防护
02-09
【标题】"最新免杀远控(过金山巴瑞星主流杀软)不过360实时防护"指的是一个远程控制软件,它经过了特殊的技术处理,能够绕过金山巴斯基、瑞星等主流杀毒软件的检测,但仍然无法逃避360安全卫士的实时防护系统...
大白鲨vip免杀远控
01-04
【大白鲨VIP免杀远控】是一款功能强大的远程控制软件,其特色在于具备免杀功能,能够避开常见的安全软件如360金山、江民和瑞星的主动防御系统,这使得它在一定程度上可以绕过这些安全软件的检测,从而在目标计算机...
大白鲨远控免杀,2.1
10-05
【大白鲨远控免杀】是一款远程控制软件的免杀版本,主要针对的是安全软件的检测机制。在IT行业中,远程控制软件被广泛应用于系统维护、技术支持以及恶意活动。"免杀"一词通常指的是软件经过特殊处理,能够绕过常见的...
金山2009主动免杀教程
03-24
金山2009主动免杀教程 大家好。 我们进入正题. 我们还是而CSever.dat 入手吧. 2009.01.28 最新的. 看,被杀了.我们来定位一下. 我相信。定位,大家总是会的。我就不多讲解了. 000741A8 这个就是特征码了。 ...
Srat1.98远控免杀
03-01
【标题】"Srat1.98远控免杀"涉及到的是网络安全领域的远程控制软件以及免杀技术。Srat1.98是一个可能被用于非法远程控制活动的工具,其核心在于“免杀”功能,即能绕过常见的安全软件检测,如巴斯基、瑞星、金山等...
“探索文心一言:百度AI写作助手使用指南”。
weixin_67239318的博客
08-04 345
文心一言是百度推出的AI写作助手,旨在帮助用户高效生成文章、文案等文本内容。快速上手指南包括注册登录、熟悉功能、阅读文档、实践操作、学习样例、逐步进阶、获取反馈以及加入社群交流。通过这些步骤,用户可以迅速掌握文心一言的使用方法,提高写作效率和质量。
FLY(数据迁移工具) 官方部署操作手册4.9 2022.05月版本
08-05
https://cdn.avepoint.com/pdfs/ape/FLY_Installation_Guide_zh-cn_v
[毕业设计]Java多媒体租赁店管理系统设计与实现(源代码+论文).zip
最新发布
08-05
[毕业设计]Java多媒体租赁店管理系统设计与实现(源代码+论文)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值