加花指令让鸽子过KV内存 - 华夏黑客同盟

| 网站首页 | 资讯 | Hack | 漏洞 | 网管 | 编程 | 培训 | 品黑页 | 软件 | 论坛 | 动画 | 视频 | 经典 | 教学站 | 黑客点睛 |

服务导航

我要发布

主力频道

精华收集

光盘刻录

您现在的位置：华夏黑客同盟 >> Hack >> 牧马天地 >> 正文

用户登录

新用户注册

[组图]加花指令让鸽子过KV内存

热荐 ★★★

【字体：小大】

加花指令让鸽子过KV内存

作者：华夏blog 文章来源：sofeng.77169.com 点击数：更新时间：2005-10-4

我们首先说下改鸽子的原理。

鸽子是一个优秀的反弹控制软件。被所有杀毒软件所杀。

那么杀毒软件为什么会知道它就是灰鸽子呢。？？

是因为，杀毒公司知道鸽子的一些特征玛，在内存里找有没有对应的特征玛。来识别对鸽子进行查杀。

我们可以找出来它的特征玛来进行修改。使得杀毒工具无法判断这个软件。所以也就对我们的鸽子不报警

了。

但是。得知道特征玛是个很麻烦的事情。包括我再内。都很讨厌去弄他们的特征玛。如果大家有兴趣。可
以到网上搜索CCL判断特征玛的方法。来进行学习。

为什么改特征玛很麻烦呢？是因为每个杀毒软件。对一个病毒的特征玛都不一样。所以你知道了KV的特征

玛。还得去分析瑞瑞星啊，金山啊，卡吧啊。别的杀毒软件的特征玛。所以很烦琐。但是，这个办法很有

效。如果熟练掌握技术。可以作到给木马终身免杀。

但是。今天先不研究这里。

给大家一个简单的方法。让我们的木马免杀。

它就是通过加花指令的方法来让木马躲过杀毒工具的查杀。
============================================================================================

好的。课程开始。

改鸽子要先知道鸽子要怎么改。所以我们要知道鸽子的运行机制。我

运行服务端以后。鸽子会在c:\windows目录下生成它的2个dll文件和一个主文件。

杀毒软件就是通过查找这3个东西来进行查杀。所以我们要对他们进行修改。

他们的名字默认是G_server.exe G_hook.dll G_getkey.dll

有兴趣可以到www.huigezi.com他们的主页看看作者的解释。

下面开始进行修改工作。

第1步。倒出工作

首先。我们先生成一个没有壳的鸽子服务端。
然后用ResScope打开它。选到 RCData 里的MAINDLL，然后点坐上角的“文件”选择“倒出资源”将其倒
出名字为maindll.dll （如图1）
按此在新窗口打开图片

接下来继续用ResScope打开maindll.dll这个文件

选到RCData 里的HOOK选项，用同样方法。把hook倒出名为 hook.dll

再用同样方法。也把getkey也倒出名为getkey.dll

然后对这3个dll文件进行查杀。（切记。不论下面的文章怎么写。一定要遵循“杀哪个改哪个”的原则）

第2步。给hook.dll 加花指令

先给大家讲下什么是花指令。其实花指令就是几句汇编指令，让汇编语句进行一些跳转。使得杀毒软件不

能正常的判断病毒文件的构造。说通俗点就是“杀毒软件是从头到脚按顺序来查找病毒。如果我们把病毒

的头和脚颠倒位置。杀毒软件就找不到病毒了”

下面我们来具体说明下怎么加花指令

首先。我们用flyODBG （下面简称“OD”大家可以去黑鹰或者华夏找汉化版本），来打开hook.dll

有的朋友会问。怎么找不到我倒出的那个文件啊？因为OD默认打开的是exe文件。而我们倒出的是dll文件
。所以我们要在打开文件那里选择dll格式，如图2
按此在新窗口打开图片

打开以后。我们先记住这个文件的入口点。

为了照顾什么都不懂的朋友。我说下什么是入口点。

通俗的说。如果点就是一个文件的头部，我们的目的就是给它“改头换面”

入口点在哪呢？

其实就是OD打开文件以后。左边最开始的那段数字。而且那断数字后面的命令已经被OD加亮显示了。例如。我这个文件的入口点就是003E5B60

。如图3
按此在新窗口打开图片

我们把它存到一个记事本里记忆。

然后我们从入口点向下找。找一处入口后面跟的命令是db00的地方开始汇编。我们把这种地方叫“空白处”
我们在空白处里鼠标右键，选择“汇编”功能

例如这里。我选择了003E277D开始汇编入图4
按此在新窗口打开图片

这个地方。我们叫它“出口点”我们把这个出口点记录下来。然后

进入关键的步骤。

在空白出，按照我下面的格式一行一行的进行汇编，
        push ebp
        mov ebp,esp
        inc ecx
        push edx
        nop
        pop edx
        dec ecx
        pop ebp
        inc ecx
最关键的步骤来了。我们在汇编完第9行代码以后。在第10行处汇编这个命令jmp+空格+入口点  还记得我的入口点是什么吗？是这里003E5B60

所以，。我们的第10行代码就是jmp 003E5B60  如图5
按此在新窗口打开图片

然后我们先点一下最后那句指令，然后按住shift把你改过的部分全部选择。这样你修改的地方就会被高
亮显示了。

在这个高亮显示的部分。鼠标右键。选择“复制到可执行文件-全部修正-全部复制。” 就会弹出一个跟图6一样的画面。
按此在新窗口打开图片

然后我们在弹出画面的高亮显示的地方鼠标右键，选择保存文件。然后直接点保存。花指令就加好了。

累了吧？但是这个dll文件现在还是不免杀。为什么？因为你还没有把它的头和脚颠倒位置啊。

所以我们要用到PEditor 1.7（黑鹰有汉化版）这个软件来给它颠倒入口点

先用PEditor 1.7打开我们修改好的hook.dll.然后就会在“入口点”那里显示我们这个文件的原来的入口点了。。我们现在就是要给它改掉。

改成我第2次让你们记忆的那个“出口点”

还记得我的出口点么？？是这里003E277D。所以我把“入口点”改成003E277D。然后点坐下角的“应用更改”如图7
按此在新窗口打开图片

更改以后。我们的这个文件就免杀了。不信你自己杀杀看啊。。

============================================================================================
累死我了。继续写。

按照同样方法。我们把getkey.dll也改成免杀

好了。我们现在就是把这两个dll倒回到他们的居住地“maindll.dll”里

用最开始的那个软件ResScope 打开maindll.dll 的选择那里。把那两个改好的文件倒入回来。然后点坐上角的那个“存盘标志”保存，如图。8

按此在新窗口打开图片

倒入完成以后。我们最好是先把maindll.dll文件倒回到服务端里。看看运行以后能不能上线。如果可以的话。就证明我们前面的步骤没有错。

如果不能上来的话。就说明你的某个步骤错啦。。

大家要有耐心，我刚开始改的时候。用了1个多小时。现在改一个鸽子5分钟就拿下了。。

假设你的鸽子可以上线。也就是你没有改错。。那么我们回到刚才的步骤。给maindll.dll做免杀。

经过我测试。如果用同样方法。给maindll.dll做免杀以后呢。再倒入回去。是不能正常上线的。

那么怎么办呢？我的解决办法是。给maindll.dll加壳。我们加壳之前要确定你前面改的那两个 dll没有问题。

我加的是北斗星压缩壳2.9版本。我对加壳不是很熟悉。所以才去买的他们的产品。大家可以加别的壳。但是记得那壳一定要支持.dll文件才行

！

推荐大家到华夏或者黑鹰搜索带“壳”字的动画和软件来学习。并且操作这些壳的用法。

大家不要嫌麻烦。想学习就得吃苦嘛。。。。如果实在不会加壳的话。就Q我吧。我拿我的北斗星给你加一下你那文件就行了。

你该问我了。你直接把注册版本发出来不就行了啊。。希望你问这个问题之前去看一下北斗星的官方站。他们的认证方式是“只能在一台电脑

注册”

呵呵。如果你想要。只能花70快钱去“天空软件站”购买了。

加完壳以后。把maindll.dll倒回服务端。就实现免杀了。

我在金山2005和KV测试下通过。

责任编辑：怪狗　　联系方式　Email：怪狗

电话：51228163

上一篇黑客：关于瑞星对改完特征码的鸽子仍然报警，已经找到原因了

下一篇黑客： Ygolbhmb后门(rootkit)清除记

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

（只显示最新5条。评论内容只代表网友观点，与本站立场无关！）

姓名：	* 游客填写　·注册用户
主页：
评分：	1分 2分 3分 4分 5分
评论内容：
验证码： *

请遵守《互联网电子公告服务管理规定》及中华人民共和国其他各项有关法律法规。严禁发表危害国家安全、损害国家利益、破坏民族团结、破坏国家宗教政策、破坏社会稳定、侮辱、诽谤、教唆、淫秽等内容的评论。用户需对自己在使用本站服务过程中的行为承担法律责任（直接或间接导致的）。本站管理员有权保留或删除评论内容。评论内容只代表网友个人观点，与本网站立场无关。

最新hack更新

最新推荐资讯

最新会员软件

最新推荐视频

最新推荐动画

mailto:webmaster@77169.net
咨询QQ号:836982 / 59280880
联系站长 QQ38588913