灰鸽子免费下载:免费使灰鸽子vip2006;DIY..来源: 发布时间:星期四, 2008年11月20日 浏览:600次 评论:0
好了废话不多说了方法非常简单,就是用牧民vip控制端生成一个服务端用官方的vip2006 就可以上线,这样也可以让我们过一把vip的瘾,但是值得一提的是,由于灰鸽子公司的关闭,我们只能享受控制端的功能强大、稳定,并不能享受vip的免杀更新了;即使我们使用了灰鸽子vip也还是需要自己做免杀,如果免杀技术不好的朋友用起来就不太方便了,因为各大杀毒软件厂商对灰鸽子查的太紧了,服务端总是被杀,特征码到处都是,如果不从根本上解决,我相信大家用灰鸽子vip2006也不会太顺心。。
好人要做到底。。 下面是我为大家准备的第二个主题:DIY自己打造属于自己的鸽子服务端,并免杀需要达到如下的效果: 一:过所有杀毒软件的表面查杀。。。 二:过所有杀毒软件的内存查杀。。。 三:尽量过杀毒软件的主动防御及实时监控。。。 四:保证文件的大小,以2006vip鸽子为例,生成文件大小为744k,加工后保持在300k左右。。便于传输和种植。。。 五:隐蔽文件,包括用带有迷惑性的图标。。对方看不出是压缩文件。。。保证扫描病毒文件的单一。。我们来举个例子。。。(动画教程里做!) 六:只要运行了我们的鸽子服务端,就要让杀毒软件找不到我们木马释放出的文件。。。达到无法查杀的目的。。 (本教程的目的是过卡巴、瑞星、金山、江民、诺顿、mcafee卖咖啡;其他杀毒软件,因为环境问题,我没有测试,但是我相信是过了。。。) 第一章:基本保护 第一步:用restorator2007 打开无壳的服务端文件,改掉两个文件名字。。。 PACKAGEINFO CYBERCYBERC(名字随便改,不要抄我的,大家都不一样才是属于自己的鸽子,杀毒软件才无法定位文件名特征吗) SEVINFO CYBERCY 用C32Asm打开改资源。。搜索PACKAGEINFO,替换成你自己改变的名称;SEVINFO有两处。。 第二步:用restorator2007 打开修改后的服务端文件,导出MAINDLL.dll文件。。再用restorator2007 打开MAINDLL.dll文件,并修改资源的名字。。。 PACKAGEINFO CYBERCYBERC DESCRIPTION TANTANTANTA TSERVER TANTANT 第三步:用C32Asm打开MAINDLL.dll,DESCRIPTION修改两处,TSERVER有很多全部替换。。保存! 第四步:再用restorator2007 打开MAINDLL.dll文件,这里我们提示一下:GETKEY文件是鸽子的中文键盘记录文件,也是各大杀软公司查杀的重点。。如果没有需求的朋友可以删除,为了追求完美教程我这里就不删除了。。。保存。。 第五步:用C32Asm打开前面改过的服务端。。导入MAINDLL.dll文件。。。保存。。 第六步:虚拟机上检查运行。。如果可以运行说明修改正确。。继续下面的步骤。 第二章:查找特征码。。 第一步:用myccl定位特征码。。 第二步:修改特征码。。 瑞星的特征码:0000BDC6_00000001 出现特征码1314C9C6 解决方案:用od载入服务端,用跳转法修改修改。。 1314C9B6 . E8 0988FFFF CALL 无壳原版.131451C4 1314C9BB . 8BD8 MOV EBX,EAX 1314CD81 00 DB 00 1314CD82 00 DB 00 卡巴的特征码:0000C07C-00000001 出现特征码1314CC7C 解决方案:用od载入服务端,用跳转法修改修改。。 1314CC76 . E8 2D74FFFF CALL 过瑞星.131440A8 1314CC7B . 50 PUSH EAX 1314CD34 00 DB 00 1314CD35 00 DB 00 诺顿的特征码:0000C152_00000002 出现特征码1314CD52 解决方案:卡巴修改后诺顿已经不再查杀了。。。。不用修改了! 金山的特征码:0000FB03-00000002 出现特征码13154103 解决方案:用C32Asm打开改文件,用修改数据,大小写翻转,修改特征码山下共三行。。。 mcafee特征码:000A49FA_00000001 出现特征码131E8FFA 解决方案:特征码定位到了文件名TSERVER上,前面我们已经改过了文件名已经不再查杀了。。。。 第三章:过内存及实时监控 如果要过内存和部分杀毒软件的实时监控,那么我们就要找到鸽子释放出的文件。。对释放出的文件进行免杀和保护! 找到内存感染文件。。。用瑞星做实验吧。。。虚拟机上运行我们的服务端,用瑞星的内存查杀,(瑞星大家公认是不错的内存查杀工具。。其实卡巴有同样的功能。) 现在我们发现了。。是seruerkey.dll 文件释放后被发现了。。从名字我们可以看出是key.dll文件,也就是鸽子的键盘记录功能。。那么seruerkey.dll文件对应的主文件是什么呢? 我们继续来分析。。 这个是我配置鸽子时的文件路径和文件名字$(WinDir)\seruer.exe 那么对应的就是C:\windows\seruer.dll 只能用C32MSA调用再另存为1.dll。 保存后用restorator2007打开,导出getkey.dll文件。。。。 对getkey.dll用maskpe两次加密,再压缩。。使用什么工具不所谓,目的是让文件变小免杀。。 然后再倒入到1.dll文件中。。 现在用上面同样的方法对1.dll文件加密压缩。。。 用用restorator2007打开前面处理过的服务端文件,将1.dll导入到MAINDLL.dll文件中。。。 所有工作就已经完成了,现在就好了我们再来看看。。。 文件大小340K,这还是我没有压缩服务端主文件的情况下,扫描是一个文件,没有加密,没有加壳,图标可以换一个迷惑性强的ico,通过严格测试,以上我提到的杀毒软件全部打开实时监控,没有反应,顺利安装,并找不到我们DIY鸽子释放出的文件。。呵呵!值得注意的是卡巴的主动防御不过,我就加一个修改时间的文件,卡巴也就服贴了。。 4
相关文章读者评论发表评论 |