24小时热门版块排行榜

返回列表

当前主题已经存档。

【悬赏金币】回答本帖问题，作者ftfget1将赠送您 4 个金币

当前只显示满足指定条件的回帖，点击这里查看本话题的所有回帖

[求助] 500枚金币 ,正在学习鸽子,谁能教教我怎样加花,我只是需要一个老师可以带我入门

正在学习鸽子,谁能教教我怎样加花
加花需要懂机器码和汇编,但我都不懂,现在完全菜鸟一个,做出来的鸽子都是被杀版的,想学习一下简单的加花知识,希望能够找个老师带我入门
师傅引进门修行靠个人,我知道重点还是在于我自己的学习,我只是需要一个能手把手带我入门的老师,作为答谢,金币500枚作为回报,谢谢

[ Last edited by ftfget1 on 2007-4-17 at 15:36 ]

回复此楼

» 猜你喜欢

招博士已经有3人回复
存款400万可以在学校里躺平吗已经有35人回复
为什么nbs上溴没有产物点出现呢已经有8人回复
最失望的一年已经有18人回复
拟解决的关键科学问题还要不要写已经有9人回复
求推荐博导已经有4人回复
求助一下有机合成大神已经有4人回复
求推荐英文EI期刊已经有5人回复
26申博已经有3人回复
基金委咋了？2026年的指南还没有出来？已经有10人回复

1楼 2007-04-17 15:09:42

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

hglxy2008

金虫 (小有名气)

应助: 0 (幼儿园)
金币: 1111.8
散金: 155
帖子: 133
在线: 47.6小时
虫号: 278629
注册: 2006-09-10
性别: GG
专业: 临床分子生物学检验

★ ★ ★ ★ ★ ★ ★ ★ ★ ★
ftfget1(金币+10):凑合吧,谢谢

网上帮你找的，不知满不满意。

好吧,现在就开始吧.
第1步。倒出工作
  首先。我们先生成一个没有壳的鸽子服务端。
然后用ResScope打开它。选到 RCData 里的MAINDLL，然后点坐上角的“文件”选择“倒出资源”将其倒
出名字为maindll.dll （如图1）

下来继续用ResScope打开maindll.dll这个文件

选到RCData 里的HOOK选项，用同样方法。把hook倒出名为 hook.dll

再用同样方法。也把getkey也倒出名为getkey.dll

然后对这3个dll文件进行查杀。（切记。不论下面的文章怎么写。一定要遵循“杀哪个改哪个”的原则）

第2步。给hook.dll 加花指令

先给大家讲下什么是花指令。其实花指令就是几句汇编指令，让汇编语句进行一些跳转。使得杀毒软件不

能正常的判断病毒文件的构造。说通俗点就是“杀毒软件是从头到脚按顺序来查找病毒。如果我们把病毒

的头和脚颠倒位置。杀毒软件就找不到病毒了”

下面我们来具体说明下怎么加花指令

首先。我们用flyODBG （下面简称“OD”大家可以去黑鹰或者华夏找汉化版本），来打开hook.dll

有的朋友会问。怎么找不到我倒出的那个文件啊？因为OD默认打开的是exe文件。而我们倒出的是dll文件
。所以我们要在打开文件那里选择dll格式，如图2

打开以后。我们先记住这个文件的入口点。

为了照顾什么都不懂的朋友。我说下什么是入口点。

通俗的说。如果点就是一个文件的头部，我们的目的就是给它“改头换面”

入口点在哪呢？

其实就是OD打开文件以后。左边最开始的那段数字。而且那断数字后面的命令已经被OD加亮显示了。例如。我这个文件的入口点就是003E5B60

。如图3

我们把它存到一个记事本里记忆。

然后我们从入口点向下找。找一处入口后面跟的命令是db00的地方开始汇编。我们把这种地方叫“空白处”
我们在空白处里鼠标右键，选择“汇编”功能

例如这里。我选择了003E277D开始汇编入图4

这个地方。我们叫它“出口点”我们把这个出口点记录下来。然后

进入关键的步骤。

在空白出，按照我下面的格式一行一行的进行汇编，
      push ebp
      mov ebp,esp
      inc ecx
      push edx
      nop
      pop edx
      dec ecx
      pop ebp
      inc ecx
最关键的步骤来了。我们在汇编完第9行代码以后。在第10行处汇编这个命令jmp+空格+入口点  还记得我的入口点是什么吗？是这里003E5B60

所以，。我们的第10行代码就是jmp 003E5B60  如图5

然后我们先点一下最后那句指令，然后按住shift把你
改过的部分全部选择。这样你修改的地方就会被高
亮显示了。

在这个高亮显示的部分。鼠标右键。选择“复制到可执行文件-全部修正-全部复制。” 就会弹出一个跟图6一样的画面。

然后我们在弹出画面的高亮显示的地方鼠标右键，选择保存文件。然后直接点保存。花指令就加好了。

累了吧？但是这个dll文件现在还是不免杀。为什么？因为你还没有把它的头和脚颠倒位置啊。

所以我们要用到PEditor 1.7（黑鹰有汉化版）这个软件来给它颠倒入口点

先用PEditor 1.7打开我们修改好的hook.dll.然后就会在“入口点”那里显示我们这个文件的原来的入口点了。。我们现在就是要给它改掉。

改成我第2次让你们记忆的那个“出口点”

还记得我的出口点么？？是这里003E277D。所以我把“入口点”改成003E277D。然后点坐下角的“应用更改”如图7

更改以后。我们的这个文件就免杀了。不信你自己杀杀看啊。。

按照同样方法。我们把getkey.dll也改成免杀

好了。我们现在就是把这两个dll倒回到他们的居住地“maindll.dll”里

用最开始的那个软件ResScope 打开maindll.dll 的选择那里。把那两个改好的文件倒入回来。然后点坐上角的那个“存盘标志”保存，如图。8

倒入完成以后。我们最好是先把maindll.dll文件倒回到服务端里。看看运行以后能不能上线。如果可以的话。就证明我们前面的步骤没有错。

如果不能上来的话。就说明你的某个步骤错啦。。

大家要有耐心，我刚开始改的时候。用了1个多小时。现在改一个鸽子5分钟就拿下了。。

假设你的鸽子可以上线。也就是你没有改错。。那么我们回到刚才的步骤。给maindll.dll做免杀。

经过我测试。如果用同样方法。给maindll.dll做免杀以后呢。再倒入回去。是不能正常上线的。

那么怎么办呢？我的解决办法是。给maindll.dll加壳。我们加壳之前要确定你前面改的那两个 dll没有问题。

我加的是北斗星压缩壳2.9版本。我对加壳不是很熟悉。所以才去买的他们的产品。大家可以加别的壳。但是记得那壳一定要支持.dll文件才行

加完壳以后。把maindll.dll倒回服务端。就实现免杀了!。

我在瑞星2006和KV2006测试下通过!!!

我们首先说下改鸽子的原理。
鸽子是一个优秀的反弹控制软件。被所有杀毒软件所杀。
那么杀毒软件为什么会知道它就是灰鸽子呢。？？
是因为，杀毒公司知道鸽子的一些特征玛，在内存里找有没有对应的特征玛。来识别对鸽子进行查杀。
我们可以找出来它的特征玛来进行修改。使得杀毒工具无法判断这个软件。所以也就对我们的鸽子不报警
了。
但是。得知道特征玛是个很麻烦的事情。包括我再内。都很讨厌去弄他们的特征玛。如果大家有兴趣。可
以到网上搜索CCL判断特征玛的方法。来进行学习。
为什么改特征玛很麻烦呢？是因为每个杀毒软件。对一个病毒的特征玛都不一样。所以你知道了KV的特征
玛。还得去分析瑞瑞星啊，金山啊，卡吧啊。别的杀毒软件的特征玛。所以很烦琐。但是，这个办法很有
效。如果熟练掌握技术。可以作到给木马终身免杀。
但是。今天先不研究这里。
给大家一个简单的方法。让我们的木马免杀。
它就是通过加花指令的方法来让木马躲过杀毒工具的查杀。
好吧,现在就开始吧.
改鸽子要先知道鸽子要怎么改。所以我们要知道鸽子的运行机制。我
运行服务端以后。鸽子会在c:\windows目录下生成它的2个dll文件和一个主文件。
杀毒软件就是通过查找这3个东西来进行查杀。所以我们要对他们进行修改。
他们的名字默认是G_server.exe  G_hook.dll G_getkey.dll
有兴趣可以到www.huigezi.com他们的主页看看作者的解释。
下面开始进行修改工作。
第1步。倒出工作
  首先。我们先生成一个没有壳的鸽子服务端。
然后用ResScope打开它。选到 RCData 里的MAINDLL，然后点坐上角的“文件”选择“倒出资源”将其倒
出名字为maindll.dll （如图1）

接下来继续用ResScope打开maindll.dll这个文件
选到RCData 里的HOOK选项，用同样方法。把hook倒出名为 hook.dll
再用同样方法。也把getkey也倒出名为getkey.dll
然后对这3个dll文件进行查杀。（切记。不论下面的文章怎么写。一定要遵循“杀哪个改哪个”的原则）
第2步。给hook.dll 加花指令
先给大家讲下什么是花指令。其实花指令就是几句汇编指令，让汇编语句进行一些跳转。使得杀毒软件不
能正常的判断病毒文件的构造。说通俗点就是“杀毒软件是从头到脚按顺序来查找病毒。如果我们把病毒
的头和脚颠倒位置。杀毒软件就找不到病毒了”
下面我们来具体说明下怎么加花指令
首先。我们用flyODBG （下面简称“OD”大家可以去黑鹰或者华夏找汉化版本），来打开hook.dll
有的朋友会问。怎么找不到我倒出的那个文件啊？因为OD默认打开的是exe文件。而我们倒出的是dll文件
。所以我们要在打开文件那里选择dll格式，如图2

打开以后。我们先记住这个文件的入口点。
为了照顾什么都不懂的朋友。我说下什么是入口点。
通俗的说。如果点就是一个文件的头部，我们的目的就是给它“改头换面”
入口点在哪呢？
其实就是OD打开文件以后。左边最开始的那段数字。而且那断数字后面的命令已经被OD加亮显示了。例如。我这个文件的入口点就是003E5B60
。如图3

我们把它存到一个记事本里记忆。
然后我们从入口点向下找。找一处入口后面跟的命令是db00的地方开始汇编。我们把这种地方叫“空白处”
我们在空白处里鼠标右键，选择“汇编”功能
例如这里。我选择了003E277D开始汇编入图4

这个地方。我们叫它“出口点”我们把这个出口点记录下来。然后
进入关键的步骤。
在空白出，按照我下面的格式一行一行的进行汇编，
      push ebp
      mov ebp,esp
      inc ecx
      push edx
      nop
      pop edx
      dec ecx
      pop ebp
      inc ecx
最关键的步骤来了。我们在汇编完第9行代码以后。在第10行处汇编这个命令jmp+空格+入口点  还记得我的入口点是什么吗？是这里003E5B60
所以，。我们的第10行代码就是jmp 003E5B60  如图5

然后我们先点一下最后那句指令，然后按住shift把你
改过的部分全部选择。这样你修改的地方就会被高
亮显示了。
在这个高亮显示的部分。鼠标右键。选择“复制到可执行文件-全部修正-全部复制。” 就会弹出一个跟图6一样的画面。

然后我们在弹出画面的高亮显示的地方鼠标右键，选择保存文件。然后直接点保存。花指令就加好了。
累了吧？但是这个dll文件现在还是不免杀。为什么？因为你还没有把它的头和脚颠倒位置啊。
所以我们要用到PEditor 1.7（黑鹰有汉化版）这个软件来给它颠倒入口点
先用PEditor 1.7打开我们修改好的hook.dll.然后就会在“入口点”那里显示我们这个文件的原来的入口点了。。我们现在就是要给它改掉。
改成我第2次让你们记忆的那个“出口点”
还记得我的出口点么？？是这里003E277D。所以我把“入口点”改成003E277D。然后点坐下角的“应用更改”如图7

更改以后。我们的这个文件就免杀了。不信你自己杀杀看啊。。
按照同样方法。我们把getkey.dll也改成免杀
好了。我们现在就是把这两个dll倒回到他们的居住地“maindll.dll”里
用最开始的那个软件ResScope 打开maindll.dll 的选择那里。把那两个改好的文件倒入回来。然后点坐上角的那个“存盘标志”保存，如图。8

倒入完成以后。我们最好是先把maindll.dll文件倒回到服务端里。看看运行以后能不能上线。如果可以的话。就证明我们前面的步骤没有错。
如果不能上来的话。就说明你的某个步骤错啦。。
大家要有耐心，我刚开始改的时候。用了1个多小时。现在改一个鸽子5分钟就拿下了。。
假设你的鸽子可以上线。也就是你没有改错。。那么我们回到刚才的步骤。给maindll.dll做免杀。
经过我测试。如果用同样方法。给maindll.dll做免杀以后呢。再倒入回去。是不能正常上线的。
那么怎么办呢？我的解决办法是。给maindll.dll加壳。我们加壳之前要确定你前面改的那两个 dll没有问题。
我加的是北斗星压缩壳2.9版本。我对加壳不是很熟悉。所以才去买的他们的产品。但是记得那壳一定要支持.dll文件才行
加完壳以后。把maindll.dll倒回服务端。就实现免杀了!。
给大家一个简单的方法。让我们的木马免杀。
好吧,现在就开始吧.
改鸽子要先知道鸽子要怎么改。所以我们要知道鸽子的运行机制。我
运行服务端以后。鸽子会在c:\windows目录下生成它的2个dll文件和一个主文件。
杀毒软件就是通过查找这3个东西来进行查杀。所以我们要对他们进行修改。
他们的名字默认是G_server.exe G_hook.dll G_getkey.dll
有兴趣可以到www.huig。 ezi.com他们的主页看看作者的解释。
下面开始进行修改工作
第1步。倒出工作
首先。我们先生成一个没有壳的鸽子服务端。
然后用ResScope打开它。选到 RCData 里的MAINDLL，然后点坐上角的“文件”选择“倒出资源”将其倒
出名字为maindll.dll （如图1）