500枚金币 ,正在学习鸽子,谁能教教我怎样加花,我只是需要一个老师可以带我入门 - - 有奖问答中转子版

版块导航: 正在加载中...

客户端APP下载

论文辅导

申博辅导

登录注册

应《网络安全法》要求，自2017年10月1日起，未进行实名认证将不得使用互联网跟帖服务。为保障您的帐号能够正常使用，请尽快对帐号进行手机号验证，感谢您的理解与支持！

24小时热门版块排行榜

返回列表

末页

当前主题已经存档。

【悬赏金币】回答本帖问题，作者ftfget1将赠送您 4 个金币

ftfget1

应助: (幼儿园)
在线:
虫号: 165829

引用回帖:

Originally posted by frankshan at 2007-4-17 04:34 PM:
看来楼主是个高手啊！

没看介绍吗??完全的菜鸟,需要入门指导

赞一下

回复此楼

11楼2007-04-17 17:33:16

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

baiyingbinss

荣誉版主 (知名作家)

小白从此隐居

应助: 0 (幼儿园)
贵宾: 1.05
金币: 366.3
散金: 356
红花: 2
帖子: 9851
在线: 4.7小时
虫号: 287650
注册: 2006-10-21
性别: GG
专业: 高分子合成化学

金币多给了我，我也不会

赞一下

回复此楼

朋友们：我走了！累了，不想灌水了！走了，………………！祝朋友们开心！！！！

12楼2007-04-17 18:30:14

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

zyy816

至尊木虫 (著名写手)

博学EPI: 1
应助: 1 (幼儿园)
金币: 9698.1
散金: 7
红花: 2
帖子: 1987
在线: 320.1小时
虫号: 162947
注册: 2006-01-11
专业: 理论和计算化学

新年大礼，黑防鸽子史上最完美的菜鸟级免杀，免费公布
2007-3-6 11:13:00
给大家做的视频是黑防鸽子的完美免杀。
网上关于鸽子的免杀当然很多，但是个人认为都不完美，一方面是因为技术原因，另外一方面
是因为怕泄露后影响免杀效果。所以一般比较强的免杀都是个人收费定做。
我从元旦开始玩鸽子的，呵呵，菜鸟一个，利用春节几天的时间研究了下鸽子的菜鸟级免杀，虽然说是菜鸟的鸽子免杀技术，但是却有着高手般的效果，呵呵。。
1.完美过卡巴，包括主动防御。
2.完美过瑞星，包括内存。
3.完美过灰鸽子专杀，包括最厉害的瑞星灰鸽子专杀。
4.完美过全球30款杀软http://www.virustotal.com/en/indexf.html这个网站大家有兴趣可以自我挑战一下。

首先说明下里面的技术不是我的原创，我是吸取免杀视频里面的经验然后自己定做的，把里面的精华基本上都用上了，这也是鸽子为什么这么强的原因。
我看了一个黑鹰红客提供的鸽子VS国外NB杀软的免杀视频，我利用了里面的2款加密工具。虽然他的鸽子可以过全世界大多数杀软，但是是过不了瑞星内存和灰鸽子专杀的，我今天就是弥补了这个问题，另外加上可以完美过卡巴主动防御，而不是用网上的卡巴主动防御杀手让卡巴停止掉。。。

好，废话不多说了，转入正题。
用到的7款工具。
ollydbg 反汇编工具
c32asm 16进制编辑工具，改进程用的
PEditor 修改头要用到的
另外4款加密加壳工具
maskpe2.0
vmprotect1.22
PolyCrypt PE
华夏免疫2.2

工具新世纪网安都有都有下载的，实在找不到的朋友可以加这个群28108925向我要。
。
好，大家看我的操作。
鸽子上线我就不配置了，相信大家都会，不会的朋友可以网上找，最好找个有语音详细点的。
这是我配置的鸽子，会被杀的。

1.修改进程过专杀。
用c32asm载入文件，选16进制模式。
搜索:\Program Files\Internet Explorer\IEXPLORE.EXE
修改为:\windows\system32\services.exe
用16位填充修改后多余的数据
再次搜索IEXPLORE.EXE
修改成services.exe
把后边的Hacker.com.cn_MUTEX用16位填充掉
文字也填充掉，最后保存。这样就可以过专杀了，但是瑞星专杀是过不了的。我看别人的专杀视频可以过，不知道我这样做的为什么过不了。。。。。。不过我用后面的加密工具后就可以过它的。
其实你还可以改下版权把黑防专版改成自己的，比如我这改晓风残月。

2.先入口点加一，用OD载入改入口点，这里是用jmp转移入口点。
如果不会这一步的朋友就跳过吧，不怎么影响效果的。看我操作吧

004A1E49 > . 8BEC    MOV EBP,ESP
004A1E4B . B9 04000000 MOV ECX,4
004A1E50 > 6A 00    PUSH 0

头的地址，我们把它转移了，找段00的空白区域写进去

00474B61    00       DB 00

从这里开始吧
可以正常上线。

3.用maskpe加密，随便选择哪个都可以，我就选第一个吧。生成另外一个文件ms.exe

4.用peditor载入查看入口点记录下来。
用vmprotect载入ms.exe，在空白处点右键,添加地址等于入口点000C2031加镜像基址00400000，也就是把第三个0改成4.即004C2031 随便选段然后点右键程序末端，再点下绿色的三角按钮编译。

5.用PolyCrypt PE进行加密。是英文版的。因为免费的只有英文版的，有汉化版的不过是要收费的，只有内部人员才搞得到。
open file(打开文件）
encrypt file(加密文件）
options(选项），不用管它，用默认的就可以了。
先点regenerate encrytion keys(生成加密钥匙）
然后再点re-generate random code(生成随机代码）。
完成后点encrypt file,这样文件就被加密了。

6.最后一步加壳加密用
华夏免疫2.2，不用加花，选择nothing found,信息选项里面，不用备份文件，看自己需要选择。选上随机产生节名。

7.由于这个壳是被卡巴杀的，所以要稍微修改下才能躲过卡巴的。
这步一定要做，用到的是一句话加花指令。

首先用OD载入记录入口点004D13EE
然后找个00区域，这里比较方便，就是上面一段有，我选
004D13DF 这个吧，点右键汇编，填入jmp 入口地址
也就是jmp 004D13EE，最后保存。
然后用peditor载入，把入口点改成004D13DF减去镜像地址00400000
也就是000D13DF.应用更改。
这样卡巴就过了，看看。

我们来测试下免杀效果。
卡巴先，看我病毒库，最新的。
注意这里看主动防御。我全部都选上了。

上线了，卡巴却一点反应都没有，呵呵。

再来看瑞星，表面，内存过了。
还有江民，金山我就不测试了，机子上没装。我在网上在线测试过，结果是一样能过。

再来看专杀，我机子就这么多专杀。如果谁的鸽子专杀能够查到的话请通知我下，呵呵。。瑞星专杀，看能过不。过了，呵呵。

==，鸽子安然无恙的还在哦。

最后当然是去全球杀软考验下。http://www.virustotal.com/en/indexf.html
为了不让大家等待，我事先上传好了。如果大家怀疑结果可以把自己按我方法做的鸽子拿去检查。
注意一点的是记得在distribute的地方点下，要出现一个红色的线，这样你上传的文件就不会被拿去各个杀软公司检验，懂英语应该看的懂，不懂的我给大家提醒下，不然我们的免杀鸽子就暴露被查了。

30款全球级的杀软，里面也有大家熟悉的
ewido
kaspersky
mcafee
nod32
panda
symantec
这几款大家应该耳熟吧，也是国内用的比较多的国外著名的杀软。

当然了，如果全部是no virus found也失去了意义。毕竟我们加了那么多密，有些软件就专门查特定的壳，如果加了那个壳就认定它是什么什么可疑文件，我们的卡巴大叔也是一样一眼就认定加了华夏免疫壳的就是灰鸽子。。。正常文件只要加个这样的壳都会被认定是木马病毒了，何况我们的灰鸽子呢。

Win32

ePatch-CD，可以看到avast是查杀这个壳的，但是他也不知道里面藏的是什么，呵呵。

suspicious Trojan/Worm eSafe查到的，我拿上来测试的免杀鸽子都是给这样的结果。可疑的木马/病毒，太敷衍了，呵呵。
其他的就不介绍了，总之是没有一个查到是灰鸽子的。

最后一步大家也可以再用北斗压压，不过怎么压体积也是减少不了的，这也算是比较遗憾的吧，原因是用了PolyCrypt PE这个加密壳，这个壳的兼容性不错，可以在加了这个壳的基础上在加别的壳不会破坏程序，我这是加的华夏免疫壳。

因为比较完美讲的比较详细所以花的时间比较多，耽误了哦。其实这些步骤都比较简单，没有用到复杂的特征码定位然后修改，也没有用到手动加花，很适合菜鸟朋友们学习打造免杀鸽子。

这样的一个鸽子少说也可以卖个上百吧^_^开玩笑了，现在免费送给大家。
最后提醒那些菜鸟朋友们：技术是死的，人是活的，只要大家肯多思考，多花时间总结，多尝试肯定会打造一只个人超强免杀的鸽子，毕竟工具是非常的多，只要我们能合理的利用就行了。还有一点提醒大家就是不要用学到的技术去搞破坏，本人鄙视这样的行为，学免杀只是为了技术的交流和进步，而不是抓鸡搞破坏

赞一下

回复此楼

13楼2007-04-17 18:52:42

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖