驱动文件的免杀技巧

闪乐

◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇
(由于今天机器无法上网，所以没法下载桌面及宣传文字，还请站长见谅)

大家好，我是ForXuan，本人QQ：16824899

今天带来的是个简单的教程，主要是告诉大家方法和思路
——《驱动文件的免杀技巧》

驱动文件也就是SYS文件，一般在免杀这种文件的时候需要反复测试，如果改不好就会导致机器蓝屏或功能失效，所以对于新手朋友来说，驱动文件的免杀也许是件比较头痛的事情。

我们现在以PCSHARE的SYS为例，AVAST杀它的驱动文件，我们来看下
下面是定位出来的两种特征码，分别是正向定位与反向定位的结果

[正向特征码] 00000385_00000001

00010382:E9 06552378JMP 7824588D

杀这句JMP，这句JMP跳的地址很大，很奇怪，所以基本上无从下手，来看下反向的

[反向特征码] 00000366_00000001

00010366:51 PUSHECX

一句PUSH，也许有人会想到改POP，但驱动文件是很严格的，这种压栈改弹栈的方法很可能导致兰屏

我们分别来看下这两处，

今天就来讲个修改的技巧，我看下这两处特征

00010366:51 PUSHECX//反向的
00010367:48 DEC EAX
00010368:9A 5F2CE99C FDC9 CALLFAR C9FD:9CE92C5F
0001036F:37 AAA
00010370:0300 ADD EAX,[EAX]
00010372:0000 ADD [EAX],AL
00010374:65:3197 374DD8BD XOR GS:[EDI+BDD84D37],EDX
0001037B:AE SCASBYTE PTR ES:[EDI]
0001037C:6D INS DWORD PTR ES:[EDI],DX
0001037D:30D3 XOR BL,DL
0001037F:53 PUSHEBX
00010380:08F9 ORCL,BH
00010382:E9 06552378JMP 7824588D//正向的

发现它们离的不远，所以我们只要改动它们之间的某一条指令，就可以达到免杀，我们就随便改一句，ADD改ADC，这样就免杀了，而且是全部免杀，一个过所有杀软的PCSHARE又诞生了，这种方法适用于所有SYS文件，简单测试下别的杀软
全部都是免杀的，其它的杀软就不测试了，浪费大家时间，现在最关心的是这样改功能上是不是可用，我们生成一个，放到虚拟机里测试，PCSHARE的驱动文件是用来隐藏端口的，如果木马运行后可以成功隐藏且机器不兰屏，就说明我们免杀成功了，这边上线了，我看下端口，PCSHARE开的是8006，看个虚拟机里有没有这个端口，隐藏成功，说明修改是没问题的，机器开着录像和虚拟机很卡，浪费大家不少时间，SORRY

------------------------------------------------------------------------------------------------

教程下载地址:点击下载