因为,杀毒公司知道鸽子的一些特征玛,在内存里找有没有对应的特征玛。来识别对鸽子进行查杀。
我们可以找出来它的特征玛来进行修改。使得杀毒工具无法判断这个软件。所以也就对我们的鸽子不报警了。
=======================================================
我们可以找出来它的特征玛来进行修改。使得杀毒工具无法判断这个软件。所以也就对我们的鸽子不报警了。
但是,得知道特征码是个很麻烦的事情。谁都讨厌去弄他们的特征玛。如果大家有兴趣。可以到网上搜索CCL判断特征玛的方法。来进行学习。为什么改特征玛很麻烦呢?是因为每个杀毒软件。对一个病毒的特征玛都不一样。所以你知道了KV的特征码。还得去分析瑞瑞星啊,金山啊,卡吧啊。别的杀毒软件的特征玛。所以很烦琐。但是,这个办法很有效。如果熟练掌握技术。可以作到给***终身免杀。
先不研究这里。
给大家一个简单的方法。让我们的***免杀。
它就是通过加花指令的方法来让***躲过杀毒工具的查杀。
-------------------------------
-------------------------------
改鸽子要先知道鸽子要怎么改。所以我们要知道鸽子的运行机制。我
运行服务端以后。鸽子会在c:\windows目录下生成它的2个dll文件和一个主文件。
杀毒软件就是通过查找这3个东西来进行查杀。所以我们要对他们进行修改。
他们的名字默认是G_server.exe G_hook.dll G_getkey.dll
有兴趣可以到[url]www.huigezi.com[/url]他们的主页看看作者的解释。
下面开始进行修改工作。
第1步。导出工作
首先。我们先生成一个没有壳的鸽子服务端。然后用ResScope打开它。选到 RCData 里的MAINDLL,然后点坐上角的“文件”选择“倒出资源”将其导出名字为maindll.dll
接下来继续用ResScope打开maindll.dll这个文件,选到RCData 里的HOOK选项,用同样方法。把hook倒出名为 hook.dll。再用同样方法。也把getkey也倒出名为getkey.dll。然后对这3个dll文件进行查杀。(切记。不论下面的文章怎么写。一定要遵循“杀哪个改哪个”的原则)
第2步。给hook.dll 加花指令
先给大家讲下什么是花指令。其实花指令就是几句汇编指令,让汇编语句进行一些跳转。使得杀毒软件不能正常的判断病毒文件的构造。说通俗点就是“杀毒软件是从头到脚按顺序来查找病毒。如果我们把病毒的头和脚颠倒位置。杀毒软件就找不到病毒了”。
下面我们来具体说明下怎么加花指令
首先。我们用flyODBG (下面简称“OD”大家可以去黑鹰或者华夏找汉化版本),来打开hook.dll
有的朋友会问。怎么找不到我倒出的那个文件啊?因为OD默认打开的是exe文件。而我们倒出的是dll文件。所以我们要在打开文件那里选择dll格式。打开以后。我们先记住这个文件的入口点。
有的朋友会问。怎么找不到我倒出的那个文件啊?因为OD默认打开的是exe文件。而我们倒出的是dll文件。所以我们要在打开文件那里选择dll格式。打开以后。我们先记住这个文件的入口点。
为了照顾什么都不懂的朋友。我说下什么是入口点。通俗的说。如果点就是一个文件的头部,我们的目的就是给它“改头换面”。入口点在哪呢?
其实就是OD打开文件以后。左边最开始的那段数字。而且那断数字后面的命令已经被OD加亮显示了。例如。我这个文件的入口点就是003E5B60
我们把它存到一个记事本里记忆。
然后我们从入口点向下找。找一处入口后面跟的命令是db00的地方开始汇编。我们把这种地方叫“空白点”我们在空白处里鼠标右键,选择“汇编”功能。例如这里,我选择了003E277D开始汇编这个地方。我们叫它“出口点”我们把这个出口点记录下来。然后进入关键的步骤。
在空白出,按照我下面的格式一行一行的进行汇编,
push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
最关键的步骤来了。我们在汇编完第9行代码以后。在第10行处汇编这个命令jmp+空格+入口点 还记得我的入口点是什么吗?是这里003E5B60。所以,我们的第10行代码就是jmp 003E5B60。然后我们先点
一下最后那句指令,然后按住shift把你改过的部分全部选择。这样你修改的地方就会被高亮显示了。
push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
最关键的步骤来了。我们在汇编完第9行代码以后。在第10行处汇编这个命令jmp+空格+入口点 还记得我的入口点是什么吗?是这里003E5B60。所以,我们的第10行代码就是jmp 003E5B60。然后我们先点
一下最后那句指令,然后按住shift把你改过的部分全部选择。这样你修改的地方就会被高亮显示了。
在这个高亮显示的部分。鼠标右键。选择“复制到可执行文件-全部修正-全部复制。”
然后我们在弹出画面的高亮显示的地方鼠标右键,选择保存文件。然后直接点保存。花指令就加好了。累了吧?但是这个dll文件现在还是不免杀。为什么?因为你还没有把它的头和脚颠倒位置啊。所以我们要用到PEditor 1.7(黑鹰有汉化版)这个软件来给它颠倒入口点。先用PEditor 1.7打开我们修改好的hook.dll.然后就会在“入口点”那里显示我们这个文件的原来的入口点了。。我们现在就是要给它改掉。改成我第2次让你们记忆的那个“出口点”。还记得我的出口点么??是这里003E277D。所以我把“入口点”改成003E277D。然后点坐下角的“应用更改”。更改以后。我们的这个文件就免杀了。不信你自己杀杀看啊。
=======================================================
按照同样方法。我们把getkey.dll也改成免杀
好了。我们现在就是把这两个dll倒回到他们的居住地“maindll.dll”里用最开始的那个软件esScope 打开maindll.dll 的选择那里。把那两个改好的文件倒入回来。然后点坐上角的那个“存盘标志”保存。
倒入完成以后。我们最好是先把maindll.dll文件倒回到服务端里。看看运行以后能不能上线。如果可以的话。就证明我们前面的步骤没有错。如果不能上来的话。就说明你的某个步骤错啦。大家要有耐心,我刚开始改的时候。用了1个多小时。现在改一个鸽子5分钟就拿下了。
假设你的鸽子可以上线。也就是你没有改错。。那么我们回到刚才的步骤。给maindll.dll做免杀。经过我测试。如果用同样方法。给maindll.dll做免杀以后呢。再倒入回去。是不能正常上线的。那么怎么办呢?我的解决办法是。给maindll.dll加壳。我们加壳之前要确定你前面改的那两个 dll没有问题。
我加的是北斗星压缩壳2.9版本。我对加壳不是很熟悉。所以才去买的他们的产品。大家可以加别的壳。但是记得那壳一定要支持.dll文件才行!
推荐大家到黑基或者黑鹰搜索带“壳”字的动画和软件来学习。并且操作这些壳的用法。
我加的是北斗星压缩壳2.9版本。我对加壳不是很熟悉。所以才去买的他们的产品。大家可以加别的壳。但是记得那壳一定要支持.dll文件才行!
推荐大家到黑基或者黑鹰搜索带“壳”字的动画和软件来学习。并且操作这些壳的用法。
转载于:https://blog.51cto.com/51bbs/147906
2702
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
