如何学习灰鸽子免杀的学习方法?
基本没人帮的上你,网上教鸽子的多,但免费的少,靠人不如靠自己,老兄,你就不能自学?自己努力吧!
学免杀,学汇编等等,你要学得多着呢!慢慢来。你会成功的,前提是你努力。
手工免杀分类:
1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描,所得结果。
2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.
2>用OD载入,用杀毒软件的内存查杀功能.
什么叫特征码:
1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.
2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到
免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍)
3.下面用一个示意图来具体来了解一下特征码的具体概念
特征码的定位与原理:
1.特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软
件就不会报警,以此确定特征码的位置
2.特征码定位器的工作原理:原文件中部分字节替换为0,然后生成新文件,再根据杀
毒软件来检测这些文件的结果判断特征码的位置
认识特征码定位与修改的工具:
1.CCL(特征码定位器)
2.OllyDbg (特征码的修改)
3.OC(用于计算从文件地址到内存地址的小工具)
4.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)
特征码修改方法:
特征码修改包括文件特征码修改和内存特征码修改,因为这二种特征码的修改方法
是通用的。所以就对目前流行的特征码修改方法作个总节。
方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能
否正常使用.
方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.
如果和我一样对汇编不懂的可以去查查8080汇编手册.
方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
木马免杀的综合修改方法:
文件免杀方法:
1.加冷门壳
2.加花指令
3.改程序入口点
4.改木马文件特征码的5种常用方法(参见“修改内存特征码”)
5.还有其它的几种免杀修改技巧
修改内存特征码:
1.直接修改特征码的十六进制法
2.修改字符串大小写法
3.等价替换法
4.指令顺序调换法
5.通用跳转法
针对不同的杀软需要不同的免杀方法
1.针对咔吧免杀,咔吧是复合定位特征码,只需要加花,加壳就可以实现免杀,没事可以去看雪论坛去挖掘点新的壳跟花,这样比较容易实现免杀。
2.针对瑞星跟巡洋舰等,也属于复合定位特征码,要实现免杀,需要修改特征码来免杀,用到的工具有“MYCCL”“CCL”“W32等反汇编工具”等等。修改特征码后就可以实现对瑞星等杀软的查杀.
3.针对NOD这个杀软,需要修改注册键值表。比较麻烦,一般修改注册值后会出现客户端无法运行,这个方面我也不怎么会,你可以去黑白网络跟华夏同盟去看看,那里有不少资料。可以自己看看。
基本的杀软都有了,这样做完你的木马基本不会被查杀了,不过想要免杀周期长点的话,还是需要自己研究出自己独特的免杀方法.
朋友 看来你要失望了 免杀是不可能用三言两语就能说清楚的 唯一的方法就是看教程 你看不懂的话就要从基础的看起 对各种术语都要有透彻的理解 认真扎好每一步才能达到你想要的 而且 一定要有恒心· 没有恒心就不要学 有了恒心就是时间早晚的问题咯 祝你早日成功
引用一下:
既然你对汇编知识都不懂,又有能力办理VIP,,
那干脆去买个免杀版的灰鸽子,比如牧民战天的,
或者上兴,或者PCshare 这些收费版的是直接免杀的,,,不必担心免杀问题咯,,,学免杀真的很难的
我不是来推销这些收费版的...这只是我的一点看法
补充一下:学免杀,不懂汇编,就不要学了...
http://www.heibai.net/download/Soft/Soft_11699.htm 黑白网络的 听说过吧?最新的
我刚看过这个视频,挺有帮助。 不过要想真正免杀还是学学修改特征码
既然你对汇编知识都不懂,又有能力办理VIP,,
那干脆去买个免杀版的灰鸽子,比如牧民战天的,
或者上兴,或者PCshare 这些收费版的是直接免杀的,,,不必担心免杀问题咯,,,学免杀真的很难的
我不是来推销这些收费版的...这只是我的一点看法
如何学习灰鸽子免杀的学习方法?视频
相关评论:
咎将维壳”(改壳必须熟悉汇编语言)---再用multiCCL定位木马的特征码,最后用C32修改木马的“特征码”(必须熟悉汇编语言)。木马免杀完成。灰鸽子木马将这些程序完成后可过360和大部分杀毒软件。不常用的远控软件生成的木马直接加“生僻壳”可过360和大部分杀毒软件。你要详细解说是没办法说完的。
咎将维3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址 4>.加壳或加伪装壳免杀法.1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.2.特点:操作简单化,但免杀的时间不长,可能...
咎将维还有人才做鸽子.(落后).免杀最牛就是改特征码.
咎将维还有不一定要用c32,用od比较灵活,看的也清楚.远控不一定要用鸽子啊,现在远控多如牛毛,找个不出明的吧 我记得原版鸽子瑞星50多处,吓死人.找个体积小、国外的远控,很好用,免杀方法也很多,不一定认死了用一种,像加壳、改壳。找个国外不知明的壳,加一下就过了,如过段时间被杀了,再改一...
咎将维灰鸽子是远控软件 主要实现对肉鸡的远程操作 盗取密码是用键盘记录功能实现的 一般软件自带的键盘记录无效 都是在配置木马时添加的键盘记录插件 大量盗号大多用的盗号木马 比如ASP空间收信 关于免杀 这个实在说不清楚 只能告诉你主流免杀技术有加花指令跟修改特征码 花指令就是在木马里添加一段无用程序 骗...
咎将维可是搜索也搜索不出来,这畜牲生灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。没辙了,小弟才疏学浅只好用杀毒软件了,打开卡巴斯基(稍候讲怎么用正版卡巴)全硬盘搜索,分区也不放过,因为双击分区也会出问题。睡觉...
咎将维免杀分为手工免杀和开源免杀。手工免杀即为特征码免杀和无特征码免杀,特征码免杀就是通过定位找到特征码然后进行修改达到免杀效果,无特征码免杀就是通过加壳加花改壳达到免杀效果,但是对于国外的杀软查杀,一般都是杀在输入表上,这种时候只能进行无特征码免杀,对输入表进行重建和隐藏,手工免杀的免杀...
咎将维1.修改方法:把具有特征码的代码顺序互换一下.2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行 方法五:通用跳转法 1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.木马免杀的综合修改...
咎将维找到你定位的特征码那句跳转到下面的空白区域,在跳回来.没有全图我给你说也说不明白...鸽子现在用特征码免杀不怎么好用了,还不如找个偏僻的壳或加花呢 楼上的你真幽默鸽子服务端你用00填充你认为可能么?现实么?参考资料:如果您的回答是从其他地方引用,请表明出处 ...
咎将维主要还是针对各个杀毒软件去做针对性的加壳 但并不是都能免杀,但可以保证过一些杀软