这次给大家做一个过各种杀毒
软件的免杀教程。这次教程主要以灰
鸽子VIP2006服务端为例!
现在网上很多免杀教程,我也看过很多,但是免杀效果都不是很好,用不几天就被杀了,所以真正免杀的
鸽子,还是修改杀毒
软件的特征码。这样免杀效果才更好,能达到长期免杀。
今天这节课主要给大家讲过卡巴内存免杀和外表免杀,达到总体免杀,只要你学会了这种方法,以后自己做属于自己的DIY免杀
鸽子就可以啦!好了废话不多说了,大家就好好看我操作吧!这是我已经生成好的VIP2006服务端,下面我们开始把服务端的需要做免杀的DLL导出来!
这就是
鸽子VIP2006服务端程序.exe→MAINDLL.dll→GETKEY.dll 大家看到了吧,2006少了一个hook.dll文件。以前VIP2005里有HOOK。DLL文件,现在2006里没有拉!这样做免杀就方便了一些!我们先把卡巴
病毒库升级到最新的,然后在用卡巴查一下我们需要做免杀的这3个文件。看到了吧,都被列为黑名单了。
OK最后一次详细定位结果出来啦,我们去保存一下。我们来分析一下结果吧,第一个大小60吧,下面的都一样吧,那我们就来选择第一个,去修改特征码,用跳转法,看我操作吧,用C32工具,找到0000B1CA大概就是这里拉,大家如果不懂16进制的话,可以找UE看哦,继续,,,我们把这段NOP掉,然后去下面找到程序空隙,也就是0000区吧,
0000B1CB: 68 E4BE4000 PUSH 40BEE4
0000B1D0: E8 A7FBFFFF CALL 0000AD7C
--------------------------------------------------0000B1D5
新入口点 JMP 0000B916 也就是返回上面的意思吧 呵呵 不好意思这里因该JMP0000B1D5 OK保存一下,我们来查下毒吧,文件不报警拉,我们内存查杀,因该找到我们刚刚保存的那个DLL,OK内存已经免杀了,我们现在看看导回服务端能不能上线。
把备份的删掉就可以了啦,现在我们传到
空间上去,然后用虚拟即运行,我们改成keymiansha.exe传到
空间吧,打开虚拟主机,上传完毕啦,等一下哦,虚拟机启动慢你可以快进一下观看。打开
鸽子VIP2006等待上线,刚刚上线的这些不是哦,我专门的分组拉,等一等哦,先喝杯咖啡吧,呵呵。
----------------------------------------------------------
好拉,我们进去下载刚刚上传的KEY免杀服务端吧。因为上次做实验吧,还忘了卸载看好拉,我把他卸掉。OK,哈哈上线拉,我们看看功能吧。功能都可以,好啦,我们卸掉它吧。
这节课KEYDLL免杀到次结束.
