❶ 如何做木馬免殺
木馬免殺濃縮精華版教程
第一部分:對國內外殺毒軟體分析
在講定位內存特徵碼前,先要分析國內外著名殺毒軟體的內存查殺特點。大家在使用木馬過程都會發現,內存查殺,一般都指得被瑞星的內存查殺。瑞星的內存查殺功能是同類殺毒軟體中最強的一款殺毒軟體。像強悍的卡巴,金山,等等它們的內存查殺意義不大,會製作免殺木馬的人都知道,像這類殺毒軟體,只要文件免殺,內存也就免殺了.還有江民也有內存查殺功能,但內存查殺功能比較弱.只針對影響力非常大的病毒程序.一般的黑客軟體都沒有提取內存特徵碼.
第二部分:木馬免殺的對策
一. 要使一個木馬免殺,首先要准備一個不加殼的木馬,這點非常重要,否則下面的免殺操作就不能進行下去。
二.然後我們要木馬的內存免殺,從上面分析可以看出,目前的內存查殺,只有瑞星最強,其它殺毒軟體內存查殺現在還不起作用所以我們只針對瑞星的內存查殺,要進行內存特徵碼的定位和修改,才能內存免殺。
三.對符其它的殺毒軟體,比如江民,金山,諾頓,卡巴.我們可以採用下面的方法,或這些方面的組合使用.
1>.入口點加1免殺法.
2>.變化入口地址免殺法
3>.加花指令法免殺法
4>.加殼或加偽裝殼免殺法.
5>.打亂殼的頭文件免殺法.
6>.修改文件特徵碼免殺法.
第三部分:免殺技術實例演示部分
一.入口點加1免殺法:
1.用到工具:PEditor
2.特點:非常簡單實用,但有時還會被卡巴查殺.
3.操作要點:用PEditor打開無殼木馬程序,把原入口點加1即可.
二.變化入口地址免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:操作也比較容易,而且免殺效果比入口點加1點要佳.
3.操作要點:用OD載入無殼的木馬程序,把入口點的前二句移到零區域去執行,然後又跳回到入口點的下面第三句繼續執行.最後用PEditor把入口點改成零區域的地址.
三.加花指令法免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:免殺通用性非常好,加了花指令後,就基本達到大量殺毒軟體的免殺.
3.操作要點:用OD打開無殼的木馬程序,找到零區域,把我們准備好的花指令填進去填好後又跳回到入口點,保存好後,再用PEditor把入口點改成零區域處填入花指令的著地址.
四.加殼或加偽裝殼免殺法:
1.用到工具:一些冷門殼,或加偽裝殼的工具,比如木馬綵衣等.
2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺.
3.操作要點:為了達到更好的免殺效果可採用多重加殼,或加了殼後在加偽裝殼的免殺效果更佳.
五.打亂殼的頭文件或殼中加花免殺法:
1.用到工具:秘密行動 ,UPX加殼工具.
2.特點:操作也是傻瓜化,免殺效果也正當不錯,特別對卡巴的免殺效果非常好.
3.操作要點:首先一定要把沒加過殼的木馬程序用UPX加層殼,然後用秘密行動這款工具中的SCramble功能進行把UPX殼的頭文件打亂,從而達到免殺效果.
六.修改文件特徵碼免殺法:
1.用到工具:特徵碼定位器,OllyDbg
2.特點:操作較復雜,要定位修改一系列過程,而且只針對每種殺毒軟體的免殺,要達到多種殺毒軟體的免殺,必需修改各種殺毒軟體的特徵碼.但免殺效果好.
3.操作要點:對某種殺毒軟體的特徵碼的定位到修改一系列慢長過程.
第四部分:快速定位與修改瑞星內存特徵碼
一.瑞星內存特徵碼特點:由於技術原因,目前瑞星的內存特徵碼在90%以上把字元串作為病毒特徵碼,這樣對我們的定位和修改帶來了方便.
二.定位與修改要點:
1>.首先用特徵碼定位器大致定位出瑞星內存特徵碼位置
2>.然後用UE打開,找到這個大致位置,看看,哪些方面對應的是字元串,用0替換後再用內存查殺進行查殺.直到找到內存特徵碼後,只要把字元串的大小寫互換就能達到內存免殺效果.
第五部分:免殺方案實例演示部分
1.完全免殺方案一:
內存特徵碼修改 + 加UPX殼 + 秘密行動工具打亂UPX殼的頭文件.
2.完全免殺方案二:
內存特徵碼修改 + 加壓縮殼 + 加殼的偽裝
3.完全免殺方案三:
內存特徵碼修改 + 修改各種殺毒軟體的文件特徵碼 + 加壓縮殼
4.完全免殺方案四:
內存特徵碼修改 + 加花指令 + 加壓殼
5.完全變態免殺方案五:
內存特徵碼修改 + 加花指令 + 入口點加1 + 加壓縮殼UPX + 打亂殼的頭文件
還有其它免殺方案可任意組合.達到更好的免殺效果.
❷ 灰鴿子做免殺是不是dat文件和exe兩個文件都得做免殺
樓上2位,o()^))o 唉
dat免殺做完後的正常情況是生成免殺,就是你任意配置,馬都是免殺的(極少情況下,會出現生成不免殺,但是可以生成後加花加殼等簡單處理下便會免殺)
EXE有2個,一個是主控端,不需要做免殺,加白名單就好了. 還有一個是馬,這個做免殺的情況一般是配置了一個常用的馬,不想一次一次配置,那就只對這個馬做免殺就好了,留個底在手上,要用的時候不用配置直接傳就好了.
嗯~說這么多了,樓上的2位不要誤導小朋友- Q578741937 HOHO,有事找我,HI我也可以
❸ 怎麼進行遠控DAT免殺
DAT就是生成文件 DAT免殺了生成出來的就是免殺的 可以直接定位也可以改後綴再定位 有些遠控會載入DLL 就必須一起免殺生成的才可以免殺
❹ DAT文件免殺
dat其實就是個不含配置信息的服務端,你要放到相應的目錄去用客戶端生成含配置信息的馬
❺ dat文件免殺。生成出木馬就被殺了 怎麼會事
dat文件內的源碼免殺了
生成後
配置信息不免殺
試試導出配置信息文件
對其做做免殺
❻ 我把上興DAT文件做免殺有什麼用
樓上那位說的可不是絕對的,DAT免殺後,只能說免殺效果增強了
❼ 怎麼給dll文件免殺、dat文件已經免殺了。dll文件不會。。求教。
首先 給你說一下 你開始定位估計就是錯誤的 首先 你要把DLL 文件 導出來 先定位DLL 文件 定位的之前 是有必要做預處理的 換版權 添加數字簽名 和無效的函數 還有區段 目的就是迷惑殺軟 定位出來 修改 DLL 文件免殺之後 你就可以 把免殺好的DLL 文件在導入DAT當中 之後 在去定位DAT 文件的特徵碼 如果你要先定位DAT 的特徵碼 因為里邊的DLL 不免殺 所以 你定位的也不會准確 還是重新來吧 筆記本 打字不爽 就說到這里
❽ 灰鴿子DAT免殺
先定位特徵碼然後修改直至免殺,中間也可以加花、加殼、修改文件頭等等,最終要保證能上線就可以了。教程自己搜,網上n多
❾ 如何免殺cache文件下的dat文件
跟給服務做免殺一個道理,只要最後把個人信息導出改文件名問**.dat就可以了 給分吧 :)