因为,杀毒公司知道鸽子的一些特征玛,在内存里找有没有对应的特征玛。来识别对鸽子进行查杀。
我们可以找出来它的特征玛来进行修改。使得杀毒工具无法判断这个软件。所以也就对我们的鸽子不报警了。
但是,得知道特征码是个很麻烦的事情。谁都讨厌去弄他们的特征玛。如果大家有兴趣。可以到网上搜索CCL判断特征玛的方法。来进行学习。为什么改特征玛很麻烦呢?是因为每个杀毒软件。对一个病毒的特征玛都不一样。所以你知道了KV的特征码。还得去分析瑞瑞星啊,金山啊,卡吧啊。别的杀毒软件的特征玛。所以很烦琐。但是,这个办法很有效。如果熟练掌握技术。可以作到给木马终身免杀。
先不研究这里。
给大家一个简单的方法。让我们的木马免杀。
它就是通过加花指令的方法来让木马躲过杀毒工具的查杀。
-------------------------------
改鸽子要先知道鸽子要怎么改。所以我们要知道鸽子的运行机制。我
运行服务端以后。鸽子会在c:\windows目录下生成它的2个dll文件和一个主文件。
杀毒软件就是通过查找这3个东西来进行查杀。所以我们要对他们进行修改。
他们的名字默认是G_server.exe  G_hook.dll G_getkey.dll
有兴趣可以到[url]www.huigezi.com[/url]他们的主页看看作者的解释。
下面开始进行修改工作。
第1步。导出工作
首先。我们先生成一个没有壳的鸽子服务端。然后用ResScope打开它。选到 RCData 里的MAINDLL,然后点坐上角的“文件”选择“倒出资源”将其导出名字为maindll.dll
接下来继续用ResScope打开maindll.dll这个文件,选到RCData 里的HOOK选项,用同样方法。把hook倒出名为 hook.dll。再用同样方法。也把getkey也倒出名为getkey.dll。然后对这3个dll文件进行查杀。(切记。不论下面的文章怎么写。一定要遵循“杀哪个改哪个”的原则)
第2步。给hook.dll 加花指令
先给大家讲下什么是花指令。其实花指令就是几句汇编指令,让汇编语句进行一些跳转。使得杀毒软件不能正常的判断病毒文件的构造。说通俗点就是“杀毒软件是从头到脚按顺序来查找病毒。如果我们把病毒的头和脚颠倒位置。杀毒软件就找不到病毒了”。
下面我们来具体说明下怎么加花指令
首先。我们用flyODBG (下面简称“OD”大家可以去黑鹰或者华夏找汉化版本),来打开hook.dll
有的朋友会问。怎么找不到我倒出的那个文件啊?因为OD默认打开的是exe文件。而我们倒出的是dll文件。所以我们要在打开文件那里选择dll格式。打开以后。我们先记住这个文件的入口点。
为了照顾什么都不懂的朋友。我说下什么是入口点。通俗的说。如果点就是一个文件的头部,我们的目的就是给它“改头换面”。入口点在哪呢?
其实就是OD打开文件以后。左边最开始的那段数字。而且那断数字后面的命令已经被OD加亮显示了。例如。我这个文件的入口点就是003E5B60
我们把它存到一个记事本里记忆。
然后我们从入口点向下找。找一处入口后面跟的命令是db00的地方开始汇编。我们把这种地方叫“空白点”我们在空白处里鼠标右键,选择“汇编”功能。例如这里,我选择了003E277D开始汇编这个地方。我们叫它“出口点”我们把这个出口点记录下来。然后进入关键的步骤。
在空白出,按照我下面的格式一行一行的进行汇编,
push ebp
mov ebp,esp
inc ecx
push edx
pop edx
dec ecx
pop ebp
inc ecx
最关键的步骤来了。我们在汇编完第9行代码以后。在第10行处汇编这个命令jmp+空格+入口点  还记得我的入口点是什么吗?是这里003E5B60。所以,我们的第10行代码就是jmp 003E5B60。然后我们先点
一下最后那句指令,然后按住shift把你改过的部分全部选择。这样你修改的地方就会被高亮显示了。
在这个高亮显示的部分。鼠标右键。选择“复制到可执行文件-全部修正-全部复制。”
然后我们在弹出画面的高亮显示的地方鼠标右键,选择保存文件。然后直接点保存。花指令就加好了。累了吧?但是这个dll文件现在还是不免杀。为什么?因为你还没有把它的头和脚颠倒位置啊。所以我们要用到PEditor 1.7(黑鹰有汉化版)这个软件来给它颠倒入口点。先用PEditor 1.7打开我们修改好的hook.dll.然后就会在“入口点”那里显示我们这个文件的原来的入口点了。。我们现在就是要给它改掉。改成我第2次让你们记忆的那个“出口点”。还记得我的出口点么??是这里003E277D。所以我把“入口点”改成003E277D。然后点坐下角的“应用更改”。更改以后。我们的这个文件就免杀了。不信你自己杀杀看啊。
=======================================================
按照同样方法。我们把getkey.dll也改成免杀
好了。我们现在就是把这两个dll倒回到他们的居住地“maindll.dll”里用最开始的那个软件esScope 打开maindll.dll 的选择那里。把那两个改好的文件倒入回来。然后点坐上角的那个“存盘标志”保存。
倒入完成以后。我们最好是先把maindll.dll文件倒回到服务端里。看看运行以后能不能上线。如果可以的话。就证明我们前面的步骤没有错。如果不能上来的话。就说明你的某个步骤错啦。大家要有耐心,我刚开始改的时候。用了1个多小时。现在改一个鸽子5分钟就拿下了。
假设你的鸽子可以上线。也就是你没有改错。。那么我们回到刚才的步骤。给maindll.dll做免杀。经过我测试。如果用同样方法。给maindll.dll做免杀以后呢。再倒入回去。是不能正常上线的。那么怎么办呢?我的解决办法是。给maindll.dll加壳。我们加壳之前要确定你前面改的那两个 dll没有问题。
我加的是北斗星压缩壳2.9版本。我对加壳不是很熟悉。所以才去买的他们的产品。大家可以加别的壳。但是记得那壳一定要支持.dll文件才行!
推荐大家到黑基或者黑鹰搜索带“壳”字的动画和软件来学习。并且操作这些壳的用法。
阿里云学生验证网页入口及流程
阿里云学生验证网页入口及流程,阿里云学生用户完成学生认证可以免费领取一台阿里云服务器,那么问题来了,阿里云学生验证申请入口​在哪?阿里云百科分享阿里云学生验证入口网页链接及学生认证全流程
Yii2.0框架提供了内置的文件访问组件,可以通过配置只允许访问指定的目录,防止非法文件的包含。这个如何使用?
Yii2.0框架提供了内置的文件访问组件,可以通过配置只允许访问指定的目录,防止非法文件的包含。这个如何使用?
C/C++ 获取线程入口地址模块等
大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,今天检测的特征是向YY语音里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历YY.exe这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。
如何正确地配置入口文件?
第三方库作者就需要编写相应的入口文件,来达到“动态”引入的目的,同时也方便于打包工具对于无用代码的剔除,减少代码体积,本篇文章主要聚焦于前端工程如何正确地配置入口文件。