欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

最新灰鸽子vip2.03简单过卡巴、江民、瑞星、金山(表面和内存)教程

来源:www.77169.com 作者:chenwq19 时间:2006-06-02 TAG: 我要投稿
 

原创:最新灰鸽子简单过卡巴、江民、瑞星、金山(表面和内存)教程
2006年5月27日
========================================================================
华夏黑客同盟(http://www.77169.org)
为普及中国网络安全做贡献
名称:灰鸽子简单过卡巴、江民、瑞星、金山(表面和内存)
主题:灰鸽子简单过卡巴、江民、瑞星、金山(表面和内存)
工具:PEditer1.7、OD1.10、虚拟机vmprotect-V1.08h、加壳工具WinUpackC.exe0.27beta
测试环境:(请注明测试时的环境windowsxp2)

动画简介:

1、用中间跳转法过江民和金山表面,用OD载入无壳服务端,计下程序入口点地址:004A5E40 ,在入口下面的位置找找到几段代码,这个随你喜欢,我找的是这4段:

004A6000     8D55 D4     LEA EDX,DWORD PTR SS:[EBP-2C]
004A6003     33C0       XOR EAX,EAX
004A6005     E8 92CBF5FF   CALL Server.00402B9C

004A600A     8B45 D4     MOV EAX,DWORD PTR SS:[EBP-2C]

好的,现在我们的思路是在上面的代码中给鸽子加一个新的的口点,再把它占用的空间挪到零区域执行,好的现在先把上面的代码nop掉,nop之后,我们作一个跳转命令,把代码跳到零区,零区我找好了,004A6216,我们JMP 004A6216,然后一步加新头JMP 004A5E40,004A5E40是程序的原入口。现在我们要把占用的代码在零区域汇编一下:前三3句就可以了
004A6000     8D55 D4     LEA EDX,DWORD PTR SS:[EBP-2C]
004A6003     33C0       XOR EAX,EAX
004A6005     E8 92CBF5FF   CALL Server.00402B9C

汇编完之后跳回到004A600A,好的至此工作完成大部分,保存一下。

用PEditer1.7把程序的入口改为新头地址:004A6005
第一步工作完成,杀毒测试,瑞星和卡巴还杀,不要紧,接着来

2、我们来过卡巴,请出虚拟机vmprotect-V1.08h,将入口地址加密,很简单用虚拟机打开刚才修改好的服务端,找到入口地址000A6005+00400000=004A6005,左面的空白处点鼠标右键添加地址004A6005,然后在右面会出现入口代码,选中它,点转存——按F9——就可以了(不要点运行啊),好的生成了一个新的文件Server01.vmp.exe;测试一下,卡巴搞定,奇怪瑞星还杀。

3、下面第三步,我们过瑞星,我实在有点懒了,不改特征码了,我们直接加壳WinUpackC.exe0.27beta,加完后测试,都不杀了,测试内存,全过!!


其实我在做vip2.03免杀的时候,上面的方法我一个都没有用到,我都是定位出特征码直接用UE修改,没有加花和做跳转,也没有加壳,为什么这样做,道理很简单,在这个基础上可以在用上n种方法组合免杀,那样能保持长久的免杀效果,我修改的黑防的鸽子,已经一个多月了,还免杀中!

 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载