找回密码
 开放注册

QQ登录

只需一步,快速开始

微信登录

微信扫码,快速开始

搜索
NB5牛论坛»首页 技术交流区 网安技术 GHOST3.6远控手动免杀(送无壳无后门工具) ...
12下一页
返回列表 发新帖
查看: 6366|回复: 16

GHOST3.6远控手动免杀(送无壳无后门工具)

[复制链接]
yaoqing

22

主题

1

回帖

30

牛毛

初生牛犊

积分
30
 楼主| 发表于 2008-12-29 22:05:27 | 显示全部楼层 |阅读模式 来自 黑龙江省哈尔滨市
文章作者:shell
信息来源:噩靈戰隊[Evil-Soul Security Team](http://bbs.x-xox-x.com
GHOST3.6远控 目前源代码已经开放,大家可以研究此程序的开源码直接实现母体的免杀。
GHOST3.6功能展示:


具备强大的远控木马功能,界面简单实用,支持8000肉鸡上线!
废话不多说,开始我们的免杀之战:
首先,用multiCCL定位器取得瑞星查杀的 特征码

取得瑞星表面特征码,开始用OD和C32载入小马观察分析。
特征码如下:   (08年8月30号前定位)
附带本人初次修改思路#
[Temp]TmpFileName=H_000****0000_0001B67A_0001B67A_00***01E12.tmp
tmpCodz=C:\\Documents and Settings\\Administrator\\桌面\\output\\pwe0.no
First=0
[CharactorCodz]
newCodz=
OK=1
CharactorTotal=12
Codz1=H_00***89F5_00***89F8_000****0004_00***01E12
Codz2=H_0000ABD6_0000ABD9_000****0004_00***01E12
Codz3=H_0000B047_0000B04A_000****0004_00***01E12
Codz4=H_0000B48B_0000B48E_000****0004_00***01E12
前4出皆为TEST比较指令,如果实用破环性修改可能会使小马无法运行,或丧失部分功能。
经观察,将TEST及后面的条件跳转指令整体与附近代码适合处 进行上下调换, 比较简单,不做过多说明。
Codz5=H_00***75FC_000****7611_000****0016_00***01E12
Codz6=H_000****7612_00***61D_00***00C_00***01E12
此处在十六进制工具下,看似可以使用大小写进行修改,经本人实践,此招已被哪位前辈使用,并被瑞星所擒获。
所以,本人在这里使用 整体偏移。在C32 16进制模式下, 从 00***75FC000****7612 这里全部选中,集体往后偏移
5个机器码位置。
Codz7=H_00***17C44_00***17C4B_000****0008_00***01E12大写改小写
此处为一个日志单词。W******log  把W改成小写w可以实现免杀
Codz8=H_00***17C64_00***17C68_000****0005_00***01E12
此处本人第一次是将特征码位置代码 往后偏移一位 ,无法实现免杀。所以后用代码上下调换法通过
Codz9=H_00***86A_00***86D_000****0004_00***01E12
用代码上下调换法~~~~通过
Codz10=H_00***98C4_00***98D3_000****0010_00***01E12
貌似也可以代码偏移,错了。还是需要调换。
这里提供其他2个 思路,可以通过MOV指令的变异,和JMP空白区域再JMP回来的办法也可以实现,只要保证程序不被中断,打乱。
Codz11=H_00***97D_000****9980_000****0004_00***01E12
刚刚开始是没看清,就将小写改大写   后来失败。
这里 把此段关联代码NOP掉,再找到段空白区域(此小马很多)将NOP掉的代码写入,用JMP命令衔接到原位置。
Codz12=H_00***19D14_00***19D20_00***00D_00***01E12
此处为一个堆栈代码,刚刚开始为了简单,直接NOP,后来发现可以免杀。不知道有没有 损失,本人暂没发现上述办法通过了瑞星免杀,下面定位出金山的特征码:
CharactorTotal=3
Codz1=H_00***01F40_00***01F45_000****0006_00***01E12
JMP命令换位或是进行上下调换,具可实现免杀。
Codz2=H_00***17B8_00***17D8_000****0021_00***01E12往前偏移一位
Codz3=H_00***18EB_00***90B_000****0021_00***01E12往前偏移一位
本人做金山的免杀时 ,感觉 偏移 这种办法比其他常规办法都有效,不知道金山是不是爱吃这套。。。
此时已实现金山表面免杀,内存查杀需定位内存特征码,待续。
希望有兴趣的和我一起研究,今晚还弄了个FBI远控的 免杀,呵呵,除了.DLL文件暂时过不了金山内存,其他俱是免杀。 效果只能口述,明天重装了做语音教程。今天就到这,大家有空多去踩下我的版,谢谢
下面是GHOST3.6远控,已经本人测试,无壳无后门,大家可以拿去慢慢研究!地址:http://bbs.x-xox-x.com/thread-2055-1-3.html
工具, 后门
回复

举报

r.angel

144

主题

734

回帖

1219

牛毛

二级牛人

  誰才媞眞㊣

积分
1219
发表于 2008-12-29 22:52:26 | 显示全部楼层 来自 重庆市
呵呵我不需要这个
不过还是支持下
回复

举报

xiaokuang

1

主题

219

回帖

309

牛毛

一级牛人

积分
309
QQ
发表于 2008-12-30 10:39:28 | 显示全部楼层 来自 广东省湛江市
呵呵我不需要这个
不过还是支持下
回复

举报

jamesliang

0

主题

6

回帖

11

牛毛

初生牛犊

积分
11
发表于 2011-5-20 17:31:22 | 显示全部楼层 来自 山西省临汾市
呵呵我不需要这个
不过还是支持下
回复

举报

jzqiufeng

0

主题

3

回帖

5

牛毛

初生牛犊

积分
5
发表于 2011-5-29 10:45:36 | 显示全部楼层 来自 辽宁省锦州市
回复 1# yaoqing


    fffffffffffffffffffffdddddddddddddddd
回复

举报

qqq1501741364

0

主题

151

回帖

196

牛毛

一级牛人

侠女

积分
196
QQ
发表于 2011-6-18 15:47:51 | 显示全部楼层 来自 广东省深圳市
我也来支持先了哦!
回复

举报

小饼

0

主题

4

回帖

16

牛毛

初生牛犊

菜鸟

积分
19
QQ
发表于 2011-7-27 11:29:19 | 显示全部楼层 来自 广东省深圳市
不能 下载啊  大哥
回复

举报

alingding

0

主题

22

回帖

54

牛毛

初生牛犊

积分
54
发表于 2012-3-26 23:36:19 | 显示全部楼层 来自 江苏省宿迁市泗阳县
二太太太太太太太太太太太太太太太太太太太太团
回复

举报

27270

2

主题

29

回帖

42

牛毛

初生牛犊

积分
42
发表于 2012-5-4 17:00:36 | 显示全部楼层 来自 安徽省明光市
顶一下
回复

举报

世界一看

0

主题

404

回帖

77

牛毛

初生牛犊

积分
77
发表于 2012-5-7 17:14:12 | 显示全部楼层 来自 安徽省芜湖市
继续关注一下这方面的信息
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 开放注册

本版积分规则

帮助|Archiver|小黑屋|通信管理局专项备案号:[2008]238号|NB5社区 ( 皖ICP备08004151号;皖公网安备34010402700514号 )

GMT+8, 2025-4-24 10:10 , Processed in 0.192109 second(s), 77 queries .

Powered by Discuz! X3.5

快速回复 返回顶部 返回列表