灰鸽子问题
来自: 更新日期:早些时候
灰鸽子问题~
我们把整个黑色标记的区域看成是没有修改的木马代码(图一),把它从中间切平均分成两半,把其中的一半用nop 填充掉(图二),再用瑞星杀内存,如果杀掉了就说明特征代码在我们没有nop 掉的一半,没有杀到就说明我们刚刚nop的一半中含有特征代码。
图二 所演示的情况是特征代码在没有nop 掉的一半,然后我们再选择含有特征代码的一半,继续分半用nop 填了再杀(图三)(图四)。这样我们的特征代码的范围就会越来越小。
整个过程新手估计也只要1个小时左右。方法容易理解,效果好。
二,经典二CCL定位
原理其实大同,都是要找特征码,然后做免杀。因为过程很复杂..用文字很难表达,有需要的朋友可以私下找我,我那里有相关语音教程。
三,加壳,加花
现在的加壳,加花软件百花齐放,而加了一个壳或者一个花之后,都能够给鸽子的服务端免杀起到广谱免杀的效果,但总感觉没前面介绍到的两种效果好,大家自己试一下就知道了。想补充说的一点是,花和壳子最好弄的唯一一点。不然很容易被杀,大家做了之后就知道我的意思了。
我个人感觉,那些“加区段 修改入口点 加密入口点”的方法,跟这个效果类似,所以就没另外分类
四,入口点加一。
这个,是最早最早我接触到的很有效的方法了,现在好象效果没那么好了,但也算是一种方法。
因为时间的关系,本人在这里也就只说这几种方法了。
但是,我想补充的一点是,也是本贴最关键的位置:
免杀的思路很多,我这里讲的四种是最基本的。大家其实可以把多种免杀的方法结合在一起使用
大家可以简单的用排列组合算一下C44+C43+C42+C41=1+4+6+4=15
也就是说,我这里的方法可以演变出15种免杀的方法来。大家自己那里肯定还有我没说的,我不会的方法,都用在一起.....哇....免杀无限升级!
看下我的方案:我们要处理的文件一共有5个,分别
→HOOK.dll④
H_Client.exe Setup.exe → MAINDLL
① ② ③ → KEY.dll⑤
-----------------------------------------------------------------
我再来给大家讲讲我怎样分别对待这些文件:
H_Client.exe 用 木马控制端免杀器.rar ,既可以免杀,又自己指定一个密码,避免木马被他人
盗用。
HOOK.dll 和 KEY.dll 体积小 用变形Morphine2.7加壳就可以免杀,方便实用。
MAINDLL 有800多kb 要是偷懒也用 Morphine2.7 加壳免杀的话,做出来的服务端会有900多kb,
所以我用压缩效果比较好的北斗星.exe先加壳,再给它加道花指令,ok。
Setup.exe 就好办了,它的体积也不大,我们可以有很多选择,用变形Morphine2.7加壳和
用北斗星.exe先加壳,再给它加道花指令来免杀效果都是非常好的。不过昨天强哥给了我一个好壳
我就先试试效果吧,嘿嘿!~F.S.T驱动壳.exe 闪亮登场。
----------------------------------------------------------------
下面我们开始,先把 Setup.exe 里面的 3个dll都导出来。MAINDLL 导出来了,命名为1.dll
里面的2个小dll也导出来了, 分别为key.dll 和 hook.dll 。
来先把HOOK.dll 和 KEY.dll 用变形Morphine2.7加壳免杀。加壳完成,用杀毒软件
杀一下看看效果怎么样。大家注意我的杀毒软件都是正版的,而且都是最新的病毒库,嘿嘿。
先用kv 试下吧,ok 了。瑞星通过,昏 让金山k 掉了,记得昨天还不杀的。
不过也没有什么啦,我们只要再给它加道花指令就可以免杀了,卡巴也通过了。
看来是 4个 过3个,呵呵!~
好了,我们再把 2个小dll导入MAINDLL.dll,给它免杀,我用压缩效果比较好的北斗星.exe先加壳,再给它加道花指令,ok。
看看现在杀不杀,加壳以后是2杀,2不杀,有意思啊, kv 和卡巴 杀,瑞星和金山不杀。
杀毒软件真的是各有所长,各有所好。 开始给加壳后的MAINDLL.dll 加花指令。
哦,对了。我还要给大家演示万能加花指令的方法,大家更我来。这里需要一个
增加区段的工具 zeroadd.exe ,hao|sha 是我自己定义的区段名,100 是区段的大小。
好了,添加成功,我们来看一下,多了一个 hao|sha2的区段吧。等下我们就到这里写
花指令。
花指令:
VC++ 5.0
PUSH EBP
MOV EBP,ESP
PUSH -1
push 515448
PUSH 6021A8
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
ADD ESP,-6C
PUSH EBX
PUSH ESI
PUSH EDI
jmp 00408C0F
00950647 入口地址
再找我们的 hao|sha2的地址,点一下m ,hao|sha2的地址是009b6000,我们就到 009B6030 写花指令吧。
009B6030 新入口地址
接下来要把 009B6030 改为新入口地址
原 000E0647 基地 00400000
现在我们要算一下,这个新入口要怎么写 没写16进
00950647 - 00400000 - 000E0647 = 470000 我们要的差
009B6030 - 00400000- 470000 = 146030 我一直是这样算的,也不知道
科学不,呵呵,反正这个没有人教。 试下看可以不 ,地址是改对了,好象
花指令没有写好,我们来检查一下我昏, 少写一个push ebp,再来。
Microsoft Visual C++ ,好了,修改成功,我来杀一下。
呵呵 过了3个,就让卡巴给杀了, 再不加几道话指令就可以免杀了,
我们不耽误时间了来弄一下,exe。先把 MAINDLL.dll 导回Setup.exe 去,再免杀。这个加3层壳
什么?你要这个病毒还是要这个病毒解决的方法?
要这个病毒的话
www.cy07.com有
要杀这个病毒我方法的话,网站上很多,我就不复制了。
哪里复制的啊
无聊,用禽兽好了,好用过灰鸽子
什么是灰鸽子?
病毒名称: Win32.Hack.Huigezi
中文名称:灰鸽子 病毒类型:木马
受影响系统 :Win9x/ME,Win2000/NT,WinXP
立即检查你的电脑里是否有灰鸽子病毒!
[1号方案] 下载”灰鸽子”专杀工具
金山专杀工具
适用平台:WinNT/2000/XP/2003 工具大小:309KB
工具说明:可清除灰鸽子的全部变种,支持在线更新
江民专杀工具
适用平台:Win9x/ME,Win2000,Win2003,WinXP 工具大小:307 KB
工具说明:查杀灰鸽子木马病毒以及灰鸽子变种
[2号方案] 手工清除
手工杀毒需要借助工具软件:冰刃。无法根据进程列表看出哪个是病毒时,可以启动冰刃,同时打开任务管理器比较一下,冰刃里多出的进程可能就是灰鸽子病毒。进程名如果是假冒word、记事本的图标,需要重点关注。
如何防止灰鸽子袭击 最新报道
1. 及时安装系统补丁。
2. 及时升级杀毒软件,注意检查你使用的杀毒软件是否过期,盗版不能正常升级的,特别需要检查。
3. 对朋友或陌生人发送来的可疑程序不要运行,别被对方的谎言蒙骗。
灰鸽子可能会造成哪些危害?
1、盗窃帐号:轻易取走你的重要帐号
2、偷窥隐私:远程监控拍摄用户隐私
3、敲诈钱财:偷走用户机密后进行敲诈
4、发展“肉鸡”:远程控制中毒机器
5、盗取商业机密:偷走用户的重要文件
6、间断性骚扰:黑客远程干扰你的电脑
7、肆意恶搞,破坏电脑
灰鸽子问题视频
相关评论:19199335636:灰鸽子问题
周江荆你是白痴吗? 还是第一次用鸽子`??第一你直接在你电脑上不用影子,就不对了,还对自己用什么自动捕捉?\/ 这样告诉你吧。你捕捉的时候是屏幕截图然后放在鸽子的那个对话框中对不对?然后下一次截图的时候你屏幕上面本来就有个对话框,就这样一直不停的截那个对话框,让你感觉一直探出那个对话框,...
19199335636:灰鸽子问题
周江荆当然要关掉了
19199335636:灰鸽子问题
周江荆由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。1、由于灰鸽子的文件本身具有隐藏属性,因此要设置...
19199335636:关于灰鸽子的问题
周江荆我要说名一点 2个相同的灰鸽子 在同一台电脑 那么只能运行一个灰鸽子,假设2个灰鸽子唯A B 有入侵者A先植入灰鸽子到一台电脑并且运行,那么之后B在入侵这台电脑它将不能运行 也就是后B入侵后在 入侵者的灰鸽子控制程序里面不会上线,, 明白了吗 ...
19199335636:灰鸽子的问题
周江荆1.灰鸽子有个服务端...只要有电脑运行了.就可以实现远程..当然要在你设置正确的情况下。..有很多方法可以使别人运行...可以通过入侵漏洞..可以通过网马...2.扫描特定地区的IP就可以了 3.免杀没有什么用。..运行以后就不免杀了
19199335636:灰鸽子的问题
周江荆无害,灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法...
19199335636:灰鸽子的问题
周江荆你只的鸽子是什么.1,如果是灰鸽子生成的服务端,那就不可能了.2,如果你指的是肉鸡的话,也不可能,当然了,你可以给他种马.你就可以拥有这只肉鸡了,但他决不是你私有的.别人也可以黑他.具体方法没法讲,用打字讲不明白,自己在网上下载教程吧 ...
19199335636:灰鸽子的问题
周江荆还是配置不对,和内网没关系。现在网上大部分灰鸽子程序已经绑马,所以在你使用的时候已经成为别人的肉鸡。
19199335636:灰鸽子的问题
周江荆灰鸽子可以实现外网对外网的控制,也能实现外网对内网的控制。想内网控制内网就必须有点手段才行,建议用 内网映射上线
19199335636:灰鸽子 一些问题
周江荆1 灰鸽子版本更加丰富,造成链接模式多样,有的3322希网甚至也可以,灰鸽子功能全面,更重要的是大多数版本不丢鸡。2 理论上是这样,有的灰鸽子版本被杀毒软件把特征码定位在了输入或者输出表上,就要改输入\/出表。3 不仅仅要更改服务端的特征码,还要用资源工具(比如一个好像叫Resto。。。的东西,...
你没设置对,
留你QQ 我加你
已经叫你QQ
一,最经典的OD一半一半定位法我们把整个黑色标记的区域看成是没有修改的木马代码(图一),把它从中间切平均分成两半,把其中的一半用nop 填充掉(图二),再用瑞星杀内存,如果杀掉了就说明特征代码在我们没有nop 掉的一半,没有杀到就说明我们刚刚nop的一半中含有特征代码。
图二 所演示的情况是特征代码在没有nop 掉的一半,然后我们再选择含有特征代码的一半,继续分半用nop 填了再杀(图三)(图四)。这样我们的特征代码的范围就会越来越小。
整个过程新手估计也只要1个小时左右。方法容易理解,效果好。
二,经典二CCL定位
原理其实大同,都是要找特征码,然后做免杀。因为过程很复杂..用文字很难表达,有需要的朋友可以私下找我,我那里有相关语音教程。
三,加壳,加花
现在的加壳,加花软件百花齐放,而加了一个壳或者一个花之后,都能够给鸽子的服务端免杀起到广谱免杀的效果,但总感觉没前面介绍到的两种效果好,大家自己试一下就知道了。想补充说的一点是,花和壳子最好弄的唯一一点。不然很容易被杀,大家做了之后就知道我的意思了。
我个人感觉,那些“加区段 修改入口点 加密入口点”的方法,跟这个效果类似,所以就没另外分类
四,入口点加一。
这个,是最早最早我接触到的很有效的方法了,现在好象效果没那么好了,但也算是一种方法。
因为时间的关系,本人在这里也就只说这几种方法了。
但是,我想补充的一点是,也是本贴最关键的位置:
免杀的思路很多,我这里讲的四种是最基本的。大家其实可以把多种免杀的方法结合在一起使用
大家可以简单的用排列组合算一下C44+C43+C42+C41=1+4+6+4=15
也就是说,我这里的方法可以演变出15种免杀的方法来。大家自己那里肯定还有我没说的,我不会的方法,都用在一起.....哇....免杀无限升级!
看下我的方案:我们要处理的文件一共有5个,分别
→HOOK.dll④
H_Client.exe Setup.exe → MAINDLL
① ② ③ → KEY.dll⑤
-----------------------------------------------------------------
我再来给大家讲讲我怎样分别对待这些文件:
H_Client.exe 用 木马控制端免杀器.rar ,既可以免杀,又自己指定一个密码,避免木马被他人
盗用。
HOOK.dll 和 KEY.dll 体积小 用变形Morphine2.7加壳就可以免杀,方便实用。
MAINDLL 有800多kb 要是偷懒也用 Morphine2.7 加壳免杀的话,做出来的服务端会有900多kb,
所以我用压缩效果比较好的北斗星.exe先加壳,再给它加道花指令,ok。
Setup.exe 就好办了,它的体积也不大,我们可以有很多选择,用变形Morphine2.7加壳和
用北斗星.exe先加壳,再给它加道花指令来免杀效果都是非常好的。不过昨天强哥给了我一个好壳
我就先试试效果吧,嘿嘿!~F.S.T驱动壳.exe 闪亮登场。
----------------------------------------------------------------
下面我们开始,先把 Setup.exe 里面的 3个dll都导出来。MAINDLL 导出来了,命名为1.dll
里面的2个小dll也导出来了, 分别为key.dll 和 hook.dll 。
来先把HOOK.dll 和 KEY.dll 用变形Morphine2.7加壳免杀。加壳完成,用杀毒软件
杀一下看看效果怎么样。大家注意我的杀毒软件都是正版的,而且都是最新的病毒库,嘿嘿。
先用kv 试下吧,ok 了。瑞星通过,昏 让金山k 掉了,记得昨天还不杀的。
不过也没有什么啦,我们只要再给它加道花指令就可以免杀了,卡巴也通过了。
看来是 4个 过3个,呵呵!~
好了,我们再把 2个小dll导入MAINDLL.dll,给它免杀,我用压缩效果比较好的北斗星.exe先加壳,再给它加道花指令,ok。
看看现在杀不杀,加壳以后是2杀,2不杀,有意思啊, kv 和卡巴 杀,瑞星和金山不杀。
杀毒软件真的是各有所长,各有所好。 开始给加壳后的MAINDLL.dll 加花指令。
哦,对了。我还要给大家演示万能加花指令的方法,大家更我来。这里需要一个
增加区段的工具 zeroadd.exe ,hao|sha 是我自己定义的区段名,100 是区段的大小。
好了,添加成功,我们来看一下,多了一个 hao|sha2的区段吧。等下我们就到这里写
花指令。
花指令:
VC++ 5.0
PUSH EBP
MOV EBP,ESP
PUSH -1
push 515448
PUSH 6021A8
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
ADD ESP,-6C
PUSH EBX
PUSH ESI
PUSH EDI
jmp 00408C0F
00950647 入口地址
再找我们的 hao|sha2的地址,点一下m ,hao|sha2的地址是009b6000,我们就到 009B6030 写花指令吧。
009B6030 新入口地址
接下来要把 009B6030 改为新入口地址
原 000E0647 基地 00400000
现在我们要算一下,这个新入口要怎么写 没写16进
00950647 - 00400000 - 000E0647 = 470000 我们要的差
009B6030 - 00400000- 470000 = 146030 我一直是这样算的,也不知道
科学不,呵呵,反正这个没有人教。 试下看可以不 ,地址是改对了,好象
花指令没有写好,我们来检查一下我昏, 少写一个push ebp,再来。
Microsoft Visual C++ ,好了,修改成功,我来杀一下。
呵呵 过了3个,就让卡巴给杀了, 再不加几道话指令就可以免杀了,
我们不耽误时间了来弄一下,exe。先把 MAINDLL.dll 导回Setup.exe 去,再免杀。这个加3层壳
什么?你要这个病毒还是要这个病毒解决的方法?
要这个病毒的话
www.cy07.com有
要杀这个病毒我方法的话,网站上很多,我就不复制了。
哪里复制的啊
无聊,用禽兽好了,好用过灰鸽子
什么是灰鸽子?
病毒名称: Win32.Hack.Huigezi
中文名称:灰鸽子 病毒类型:木马
受影响系统 :Win9x/ME,Win2000/NT,WinXP
立即检查你的电脑里是否有灰鸽子病毒!
[1号方案] 下载”灰鸽子”专杀工具
金山专杀工具
适用平台:WinNT/2000/XP/2003 工具大小:309KB
工具说明:可清除灰鸽子的全部变种,支持在线更新
江民专杀工具
适用平台:Win9x/ME,Win2000,Win2003,WinXP 工具大小:307 KB
工具说明:查杀灰鸽子木马病毒以及灰鸽子变种
[2号方案] 手工清除
手工杀毒需要借助工具软件:冰刃。无法根据进程列表看出哪个是病毒时,可以启动冰刃,同时打开任务管理器比较一下,冰刃里多出的进程可能就是灰鸽子病毒。进程名如果是假冒word、记事本的图标,需要重点关注。
如何防止灰鸽子袭击 最新报道
1. 及时安装系统补丁。
2. 及时升级杀毒软件,注意检查你使用的杀毒软件是否过期,盗版不能正常升级的,特别需要检查。
3. 对朋友或陌生人发送来的可疑程序不要运行,别被对方的谎言蒙骗。
灰鸽子可能会造成哪些危害?
1、盗窃帐号:轻易取走你的重要帐号
2、偷窥隐私:远程监控拍摄用户隐私
3、敲诈钱财:偷走用户机密后进行敲诈
4、发展“肉鸡”:远程控制中毒机器
5、盗取商业机密:偷走用户的重要文件
6、间断性骚扰:黑客远程干扰你的电脑
7、肆意恶搞,破坏电脑
灰鸽子问题视频
相关评论:
周江荆你是白痴吗? 还是第一次用鸽子`??第一你直接在你电脑上不用影子,就不对了,还对自己用什么自动捕捉?\/ 这样告诉你吧。你捕捉的时候是屏幕截图然后放在鸽子的那个对话框中对不对?然后下一次截图的时候你屏幕上面本来就有个对话框,就这样一直不停的截那个对话框,让你感觉一直探出那个对话框,...
周江荆当然要关掉了
周江荆由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。1、由于灰鸽子的文件本身具有隐藏属性,因此要设置...
周江荆我要说名一点 2个相同的灰鸽子 在同一台电脑 那么只能运行一个灰鸽子,假设2个灰鸽子唯A B 有入侵者A先植入灰鸽子到一台电脑并且运行,那么之后B在入侵这台电脑它将不能运行 也就是后B入侵后在 入侵者的灰鸽子控制程序里面不会上线,, 明白了吗 ...
周江荆1.灰鸽子有个服务端...只要有电脑运行了.就可以实现远程..当然要在你设置正确的情况下。..有很多方法可以使别人运行...可以通过入侵漏洞..可以通过网马...2.扫描特定地区的IP就可以了 3.免杀没有什么用。..运行以后就不免杀了
周江荆无害,灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法...
周江荆你只的鸽子是什么.1,如果是灰鸽子生成的服务端,那就不可能了.2,如果你指的是肉鸡的话,也不可能,当然了,你可以给他种马.你就可以拥有这只肉鸡了,但他决不是你私有的.别人也可以黑他.具体方法没法讲,用打字讲不明白,自己在网上下载教程吧 ...
周江荆还是配置不对,和内网没关系。现在网上大部分灰鸽子程序已经绑马,所以在你使用的时候已经成为别人的肉鸡。
周江荆灰鸽子可以实现外网对外网的控制,也能实现外网对内网的控制。想内网控制内网就必须有点手段才行,建议用 内网映射上线
周江荆1 灰鸽子版本更加丰富,造成链接模式多样,有的3322希网甚至也可以,灰鸽子功能全面,更重要的是大多数版本不丢鸡。2 理论上是这样,有的灰鸽子版本被杀毒软件把特征码定位在了输入或者输出表上,就要改输入\/出表。3 不仅仅要更改服务端的特征码,还要用资源工具(比如一个好像叫Resto。。。的东西,...
