因爲,殺毒公司知道鴿子的一些特徵瑪,在內存裏找有沒有對應的特徵瑪。來識別對鴿子進行查殺。
我們可以找出來它的特徵瑪來進行修改。使得殺毒工具無法判斷這個軟件。所以也就對我們的鴿子不報警了。
但是,得知道特徵碼是個很麻煩的事情。誰都討厭去弄他們的特徵瑪。如果大家有興趣。可以到網上搜索CCL判斷特徵瑪的方法。來進行學習。爲什麼改特徵瑪很麻煩呢?是因爲每個殺毒軟件。對一個病毒的特徵瑪都不一樣。所以你知道了KV的特徵碼。還得去分析瑞瑞星啊,金山啊,卡吧啊。別的殺毒軟件的特徵瑪。所以很煩瑣。但是,這個辦法很有效。如果熟練掌握技術。可以作到給***終身免殺。
先不研究這裏。
給大家一個簡單的方法。讓我們的***免殺。
它就是通過加花指令的方法來讓***躲過殺毒工具的查殺。
-------------------------------
-------------------------------
改鴿子要先知道鴿子要怎麼改。所以我們要知道鴿子的運行機制。我
運行服務端以後。鴿子會在c:\windows目錄下生成它的2個dll文件和一個主文件。
殺毒軟件就是通過查找這3個東西來進行查殺。所以我們要對他們進行修改。
他們的名字默認是G_server.exe G_hook.dll G_getkey.dll
有興趣可以到[url]www.huigezi.com[/url]他們的主頁看看作者的解釋。
下面開始進行修改工作。
第1步。導出工作
接下來繼續用ResScope打開maindll.dll這個文件,選到RCData 裏的HOOK選項,用同樣方法。把hook倒出名爲 hook.dll。再用同樣方法。也把getkey也倒出名爲getkey.dll。然後對這3個dll文件進行查殺。(切記。不論下面的文章怎麼寫。一定要遵循“殺哪個改哪個”的原則)
第2步。給hook.dll 加花指令
先給大家講下什麼是花指令。其實花指令就是幾句彙編指令,讓彙編語句進行一些跳轉。使得殺毒軟件不能正常的判斷病毒文件的構造。說通俗點就是“殺毒軟件是從頭到腳按順序來查找病毒。如果我們把病毒的頭和腳顛倒位置。殺毒軟件就找不到病毒了”。
下面我們來具體說明下怎麼加花指令
首先。我們用flyODBG (下面簡稱“OD”大家可以去黑鷹或者華夏找漢化版本),來打開hook.dll
有的朋友會問。怎麼找不到我倒出的那個文件啊?因爲OD默認打開的是exe文件。而我們倒出的是dll文件。所以我們要在打開文件那裏選擇dll格式。打開以後。我們先記住這個文件的入口點。
有的朋友會問。怎麼找不到我倒出的那個文件啊?因爲OD默認打開的是exe文件。而我們倒出的是dll文件。所以我們要在打開文件那裏選擇dll格式。打開以後。我們先記住這個文件的入口點。
爲了照顧什麼都不懂的朋友。我說下什麼是入口點。通俗的說。如果點就是一個文件的頭部,我們的目的就是給它“改頭換面”。入口點在哪呢?
其實就是OD打開文件以後。左邊最開始的那段數字。而且那斷數字後面的命令已經被OD加亮顯示了。例如。我這個文件的入口點就是003E5B60
我們把它存到一個記事本里記憶。
然後我們從入口點向下找。找一處入口後面跟的命令是db00的地方開始彙編。我們把這種地方叫“空白點”我們在空白處裏鼠標右鍵,選擇“彙編”功能。例如這裏,我選擇了003E277D開始彙編這個地方。我們叫它“出口點”我們把這個出口點記錄下來。然後進入關鍵的步驟。
在空白出,按照我下面的格式一行一行的進行彙編,
push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
最關鍵的步驟來了。我們在彙編完第9行代碼以後。在第10行處彙編這個命令jmp+空格+入口點 還記得我的入口點是什麼嗎?是這裏003E5B60。所以,我們的第10行代碼就是jmp 003E5B60。然後我們先點
一下最後那句指令,然後按住shift把你改過的部分全部選擇。這樣你修改的地方就會被高亮顯示了。
最關鍵的步驟來了。我們在彙編完第9行代碼以後。在第10行處彙編這個命令jmp+空格+入口點
一下最後那句指令,然後按住shift把你改過的部分全部選擇。這樣你修改的地方就會被高亮顯示了。
在這個高亮顯示的部分。鼠標右鍵。選擇“複製到可執行文件-全部修正-全部複製。”
然後我們在彈出畫面的高亮顯示的地方鼠標右鍵,選擇保存文件。然後直接點保存。花指令就加好了。累了吧?但是這個dll文件現在還是不免殺。爲什麼?因爲你還沒有把它的頭和腳顛倒位置啊。所以我們要用到PEditor 1.7(黑鷹有漢化版)這個軟件來給它顛倒入口點。先用PEditor 1.7打開我們修改好的hook.dll.然後就會在“入口點”那裏顯示我們這個文件的原來的入口點了。。我們現在就是要給它改掉。改成我第2次讓你們記憶的那個“出口點”。還記得我的出口點麼??是這裏003E277D。所以我把“入口點”改成003E277D。然後點坐下角的“應用更改”。更改以後。我們的這個文件就免殺了。不信你自己殺殺看啊。
=======================================================
按照同樣方法。我們把getkey.dll也改成免殺
好了。我們現在就是把這兩個dll倒回到他們的居住地“maindll.dll”裏用最開始的那個軟件esScope 打開maindll.dll 的選擇那裏。把那兩個改好的文件倒入回來。然後點坐上角的那個“存盤標誌”保存。
倒入完成以後。我們最好是先把maindll.dll文件倒回到服務端裏。看看運行以後能不能上線。如果可以的話。就證明我們前面的步驟沒有錯。如果不能上來的話。就說明你的某個步驟錯啦。大家要有耐心,我剛開始改的時候。用了1個多小時。現在改一個鴿子5分鐘就拿下了。
假設你的鴿子可以上線。也就是你沒有改錯。。那麼我們回到剛纔的步驟。給maindll.dll做免殺。經過我測試。如果用同樣方法。給maindll.dll做免殺以後呢。再倒入回去。是不能正常上線的。那麼怎麼辦呢?我的解決辦法是。給maindll.dll加殼。我們加殼之前要確定你前面改的那兩個 dll沒有問題。
我加的是北斗星壓縮殼2.9版本。我對加殼不是很熟悉。所以纔去買的他們的產品。大家可以加別的殼。但是記得那殼一定要支持.dll文件才行!
推薦大家到黑基或者黑鷹搜索帶“殼”字的動畫和軟件來學習。並且操作這些殼的用法。
我加的是北斗星壓縮殼2.9版本。我對加殼不是很熟悉。所以纔去買的他們的產品。大家可以加別的殼。但是記得那殼一定要支持.dll文件才行!
推薦大家到黑基或者黑鷹搜索帶“殼”字的動畫和軟件來學習。並且操作這些殼的用法。