首页 › 网安技术 › GHOST3.6远控手动免杀（送无壳无后门工具）

yaoqing 发表于 2008-12-29 22:05:27

GHOST3.6远控手动免杀（送无壳无后门工具）

文章作者：shell
信息来源：噩靈戰隊（http://bbs.x-xox-x.com）
GHOST3.6远控 目前源代码已经开放，大家可以研究此程序的开源码直接实现母体的免杀。
GHOST3.6功能展示：

http://bbs.x-xox-x.com/attachments/month_0808/20080830_0e2e4ba0445ed0cbe21bEMG1tmrVMxRp.jpg
具备强大的远控木马功能，界面简单实用，支持8000肉鸡上线！
废话不多说，开始我们的免杀之战：
首先，用multiCCL定位器取得瑞星查杀的 特征码
http://bbs.x-xox-x.com/attachments/month_0808/20080830_d1b1a907ab9398fd8cb7QZupFew7x8M7.jpg
取得瑞星表面特征码，开始用OD和C32载入小马观察分析。
特征码如下：   （08年8月30号前定位）
附带本人初次修改思路#
TmpFileName=H_00000000_0001B67A_0001B67A_00001E12.tmp
tmpCodz=C:\\Documents and Settings\\Administrator\\桌面\\output\\pwe0.no
First=0

newCodz=
OK=1
CharactorTotal=12
Codz1=H_000089F5_000089F8_00000004_00001E12
Codz2=H_0000ABD6_0000ABD9_00000004_00001E12
Codz3=H_0000B047_0000B04A_00000004_00001E12
Codz4=H_0000B48B_0000B48E_00000004_00001E12
前4出皆为TEST比较指令，如果实用破环性修改可能会使小马无法运行，或丧失部分功能。
经观察，将TEST及后面的条件跳转指令整体与附近代码适合处 进行上下调换， 比较简单，不做过多说明。
Codz5=H_000175FC_00017611_00000016_00001E12
Codz6=H_00017612_0001761D_0000000C_00001E12
此处在十六进制工具下，看似可以使用大小写进行修改，经本人实践，此招已被哪位前辈使用，并被瑞星所擒获。
所以，本人在这里使用 整体偏移。在C32 16进制模式下， 从 000175FC到 00017612 这里全部选中，集体往后偏移
5个机器码位置。
Codz7=H_00017C44_00017C4B_00000008_00001E12大写改小写
此处为一个日志单词。W******log把W改成小写w可以实现免杀
Codz8=H_00017C64_00017C68_00000005_00001E12
此处本人第一次是将特征码位置代码 往后偏移一位 ，无法实现免杀。所以后用代码上下调换法通过
Codz9=H_0001986A_0001986D_00000004_00001E12
用代码上下调换法~~~~通过
Codz10=H_000198C4_000198D3_00000010_00001E12
貌似也可以代码偏移，错了。还是需要调换。
这里提供其他2个 思路，可以通过MOV指令的变异，和JMP空白区域再JMP回来的办法也可以实现，只要保证程序不被中断，打乱。
Codz11=H_0001997D_00019980_00000004_00001E12
刚刚开始是没看清，就将小写改大写   后来失败。
这里 把此段关联代码NOP掉，再找到段空白区域（此小马很多）将NOP掉的代码写入，用JMP命令衔接到原位置。
Codz12=H_00019D14_00019D20_0000000D_00001E12
此处为一个堆栈代码，刚刚开始为了简单，直接NOP，后来发现可以免杀。不知道有没有 损失，本人暂没发现上述办法通过了瑞星免杀，下面定位出金山的特征码：
CharactorTotal=3
Codz1=H_00001F40_00001F45_00000006_00001E12
JMP命令换位或是进行上下调换，具可实现免杀。
Codz2=H_000117B8_000117D8_00000021_00001E12往前偏移一位
Codz3=H_000118EB_0001190B_00000021_00001E12往前偏移一位
本人做金山的免杀时 ，感觉 偏移 这种办法比其他常规办法都有效，不知道金山是不是爱吃这套。。。
此时已实现金山表面免杀，内存查杀需定位内存特征码，待续。
希望有兴趣的和我一起研究，今晚还弄了个FBI远控的 免杀，呵呵，除了.DLL文件暂时过不了金山内存，其他俱是免杀。http://bbs.x-xox-x.com/attachments/month_0808/20080830_d47e5d29bc5e333179e2Y2UJY0Ie9Z6r.jpg 效果只能口述，明天重装了做语音教程。今天就到这，大家有空多去踩下我的版，谢谢
下面是GHOST3.6远控，已经本人测试，无壳无后门，大家可以拿去慢慢研究！地址：http://bbs.x-xox-x.com/thread-2055-1-3.html
http://bbs.x-xox-x.com/images/2008ylhfg/attachimg.gif

r.angel 发表于 2008-12-29 22:52:26

呵呵我不需要这个
不过还是支持下

xiaokuang 发表于 2008-12-30 10:39:28

呵呵我不需要这个
不过还是支持下

jamesliang 发表于 2011-5-20 17:31:22

呵呵我不需要这个
不过还是支持下

jzqiufeng 发表于 2011-5-29 10:45:36

回复 1# yaoqing


    fffffffffffffffffffffdddddddddddddddd

qqq1501741364 发表于 2011-6-18 15:47:51

我也来支持先了哦！

小饼 发表于 2011-7-27 11:29:19

不能 下载啊大哥

alingding 发表于 2012-3-26 23:36:19

二太太太太太太太太太太太太太太太太太太太太团

27270 发表于 2012-5-4 17:00:36

顶一下

世界一看 发表于 2012-5-7 17:14:12

继续关注一下这方面的信息

查看完整版本: GHOST3.6远控手动免杀（送无壳无后门工具）