❶ 如何做木马免杀
木马免杀浓缩精华版教程
第一部分:对国内外杀毒软件分析
在讲定位内存特征码前,先要分析国内外着名杀毒软件的内存查杀特点。大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴,金山,等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码.
第二部分:木马免杀的对策
一. 要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则下面的免杀操作就不能进行下去。
二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能内存免杀。
三.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用.
1>.入口点加1免杀法.
2>.变化入口地址免杀法
3>.加花指令法免杀法
4>.加壳或加伪装壳免杀法.
5>.打乱壳的头文件免杀法.
6>.修改文件特征码免杀法.
第三部分:免杀技术实例演示部分
一.入口点加1免杀法:
1.用到工具:PEditor
2.特点:非常简单实用,但有时还会被卡巴查杀.
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.
二.变化入口地址免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.
3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.
三.加花指令法免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.
四.加壳或加伪装壳免杀法:
1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.
2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.
3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳.
五.打乱壳的头文件或壳中加花免杀法:
1.用到工具:秘密行动 ,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.
六.修改文件特征码免杀法:
1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.
3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.
第四部分:快速定位与修改瑞星内存特征码
一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.
二.定位与修改要点:
1>.首先用特征码定位器大致定位出瑞星内存特征码位置
2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.
第五部分:免杀方案实例演示部分
1.完全免杀方案一:
内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.
2.完全免杀方案二:
内存特征码修改 + 加压缩壳 + 加壳的伪装
3.完全免杀方案三:
内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳
4.完全免杀方案四:
内存特征码修改 + 加花指令 + 加压壳
5.完全变态免杀方案五:
内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件
还有其它免杀方案可任意组合.达到更好的免杀效果.
❷ 灰鸽子做免杀是不是dat文件和exe两个文件都得做免杀
楼上2位,o()^))o 唉
dat免杀做完后的正常情况是生成免杀,就是你任意配置,马都是免杀的(极少情况下,会出现生成不免杀,但是可以生成后加花加壳等简单处理下便会免杀)
EXE有2个,一个是主控端,不需要做免杀,加白名单就好了. 还有一个是马,这个做免杀的情况一般是配置了一个常用的马,不想一次一次配置,那就只对这个马做免杀就好了,留个底在手上,要用的时候不用配置直接传就好了.
嗯~说这么多了,楼上的2位不要误导小朋友- Q578741937 HOHO,有事找我,HI我也可以
❸ 怎么进行远控DAT免杀
DAT就是生成文件 DAT免杀了生成出来的就是免杀的 可以直接定位也可以改后缀再定位 有些远控会加载DLL 就必须一起免杀生成的才可以免杀
❹ DAT文件免杀
dat其实就是个不含配置信息的服务端,你要放到相应的目录去用客户端生成含配置信息的马
❺ dat文件免杀。生成出木马就被杀了 怎么会事
dat文件内的源码免杀了
生成后
配置信息不免杀
试试导出配置信息文件
对其做做免杀
❻ 我把上兴DAT文件做免杀有什么用
楼上那位说的可不是绝对的,DAT免杀后,只能说免杀效果增强了
❼ 怎么给dll文件免杀、dat文件已经免杀了。dll文件不会。。求教。
首先 给你说一下 你开始定位估计就是错误的 首先 你要把DLL 文件 导出来 先定位DLL 文件 定位的之前 是有必要做预处理的 换版权 添加数字签名 和无效的函数 还有区段 目的就是迷惑杀软 定位出来 修改 DLL 文件免杀之后 你就可以 把免杀好的DLL 文件在导入DAT当中 之后 在去定位DAT 文件的特征码 如果你要先定位DAT 的特征码 因为里边的DLL 不免杀 所以 你定位的也不会准确 还是重新来吧 笔记本 打字不爽 就说到这里
❽ 灰鸽子DAT免杀
先定位特征码然后修改直至免杀,中间也可以加花、加壳、修改文件头等等,最终要保证能上线就可以了。教程自己搜,网上n多
❾ 如何免杀cache文件下的dat文件
跟给服务做免杀一个道理,只要最后把个人信息导出改文件名问**.dat就可以了 给分吧 :)