1.完美过卡巴,包括主动防御。
2.完美过瑞星,包括内存。
3.完美过灰鸽子专杀,包括最厉害的瑞星灰鸽子专杀。
4.完美过全球30款杀软
http://www.virustotal.com/en/indexf.html这个网站大家有兴趣可以自我挑战一下。
首先说明下里面的技术不是我的原创,我是吸取免杀视频里面的经验然后自己定做的,把里面的精华基本上都用上了,这也是鸽子为什么这么强的原因。
我看了一个黑鹰红客提供的鸽子VS国外NB杀软的免杀视频,我利用了里面的2款加密工具。虽然他的鸽子可以过全世界大多数杀软,但是是过不了瑞星内存和灰鸽子专杀的,我今天就是弥补了这个问题,另外加上可以完美过卡巴主动防御,而不是用网上的卡巴主动防御杀手让卡巴停止掉。。。
好,废话不多说了,转入正题。
用到的7款工具。
ollydbg 反汇编工具
c32asm 16进制编辑工具,改进程用的
PEditor 修改头要用到的
另外4款加密加壳工具
maskpe2.0
vmprotect1.22
PolyCrypt PE
华夏免疫2.2
工具新世纪网安都有都有下载的
好,大家看我的操作。
鸽子上线我就不配置了,相信大家都会,不会的朋友可以网上找,最好找个有语音详细点的。
这是我配置的鸽子,会被杀的。
1.修改进程过专杀。
用c32asm载入文件,选16进制模式。
搜索:\Program Files\Internet Explorer\IEXPLORE.EXE
修改为:\windows\system32\services.exe
用16位填充修改后多余的数据
再次搜索IEXPLORE.EXE
修改成services.exe
把后边的Hacker.com.cn_MUTEX用16位填充掉
文字也填充掉,最后保存。这样就可以过专杀了,但是瑞星专杀是过不了的。我看别人的专杀视频可以过,不知道我这样做的为什么过不了。。。。。。不过我用后面的加密工具后就可以过它的。
其实你还可以改下版权把黑防专版改成自己的,比如我这改晓风残月。
2.先入口点加一,用OD载入改入口点,这里是用jmp转移入口点。
如果不会这一步的朋友就跳过吧,不怎么影响效果的。看我操作吧
004A1E49 > . 8BEC MOV EBP,ESP
004A1E4B . B9 04000000 MOV ECX,4
004A1E50 > 6A 00 PUSH 0
头的地址,我们把它转移了,找段00的空白区域写进去
00474B61 00 DB 00
从这里开始吧
可以正常上线。
3.用maskpe加密,随便选择哪个都可以,我就选第一个吧。生成另外一个文件ms.exe
4.用peditor载入查看入口点记录下来。
用vmprotect载入ms.exe,在空白处点右键,添加地址等于入口点000C2031加镜像基址00400000,也就是把第三个0改成4.即004C2031 随便选段然后点右键程序末端,再点下绿色的三角按钮编译。
5.用PolyCrypt PE进行加密。是英文版的。因为免费的只有英文版的,有汉化版的不过是要收费的,只有内部人员才搞得到。
open file(打开文件)
encrypt file(加密文件)
options(选项),不用管它,用默认的就可以了。
先点regenerate encrytion keys(生成加密钥匙)
然后再点re-generate random code(生成随机代码)。
完成后点encrypt file,这样文件就被加密了。
6.最后一步加壳加密用
华夏免疫2.2,不用加花,选择nothing found,信息选项里面,不用备份文件,看自己需要选择。选上随机产生节名。
7.由于这个壳是被卡巴杀的,所以要稍微修改下才能躲过卡巴的。
这步一定要做,用到的是一句话加花指令。
首先用OD载入记录入口点004D13EE
然后找个00区域,这里比较方便,就是上面一段有,我选
004D13DF 这个吧,点右键汇编,填入jmp 入口地址
也就是jmp 004D13EE,最后保存。
然后用peditor载入,把入口点改成004D13DF减去镜像地址00400000
也就是000D13DF.应用更改。
这样卡巴就过了,看看。
我们来测试下免杀效果。
卡巴先,看我病毒库,最新的。
注意这里看主动防御。我全部都选上了。
上线了,卡巴却一点反应都没有,呵呵。
再来看瑞星,表面 ,内存 过了。
还有江民,金山我就不测试了,机子上没装。我在网上在线测试过,结果是一样能过。
再来看专杀, 我机子就这么多专杀。如果谁的鸽子专杀能够查到的话请通知我下,呵呵。。瑞星专杀,看能过不。过了,呵呵。
==,鸽子安然无恙的还在哦。
最后当然是去全球杀软考验下。
http://www.virustotal.com/en/indexf.html为了不让大家等待,我事先上传好了。如果大家怀疑结果可以把自己按我方法做的鸽子拿去检查。
注意一点的是记得在distribute的地方点下,要出现一个红色的线,这样你上传的文件就不会被拿去各个杀软公司检验,懂英语应该看的懂,不懂的我给大家提醒下,不然我们的免杀鸽子就暴露被查了。
30款全球级的杀软,里面也有大家熟悉的
ewido
kaspersky
mcafee
nod32
panda
symantec
这几款大家应该耳熟吧,也是国内用的比较多的国外著名的杀软。
当然了,如果全部是no virus found也失去了意义。毕竟我们加了那么多密,有些软件就专门查特定的壳,如果加了那个壳就认定它是什么什么可疑文件,我们的卡巴大叔也是一样一眼就认定加了华夏免疫壳的就是灰鸽子。。。正常文件只要加个这样的壳都会被认定是木马病毒了,何况我们的灰鸽子呢。
Win32ePatch-CD,可以看到avast是查杀这个壳的,但是他也不知道里面藏的是什么,呵呵。
suspicious Trojan/Worm eSafe查到的,我拿上来测试的免杀鸽子都是给这样的结果。可疑的木马/病毒,太敷衍了,呵呵。
其他的就不介绍了,总之是没有一个查到是灰鸽子的。
最后一步大家也可以再用北斗压压,不过怎么压体积也是减少不了的,这也算是比较遗憾的吧,原因是用了PolyCrypt PE这个加密壳,这个壳的兼容性不错,可以在加了这个壳的基础上在加别的壳不会破坏程序,我这是加的华夏免疫壳。
因为比较完美讲的比较详细所以花的时间比较多,耽误了哦。其实这些步骤都比较简单,没有用到复杂的特征码定位然后修改,也没有用到手动加花,很适合菜鸟朋友们学习打造免杀鸽子。
这样的一个鸽子少说也可以卖个上百吧^_^开玩笑了,现在免费送给大家。
最后提醒那些菜鸟朋友们:技术是死的,人是活的,只要大家肯多思考,多花时间总结,多尝试肯定会打造一只个人超强免杀的鸽子,毕竟工具是非常的多,只要我们能合理的利用就行了。还有一点提醒大家就是不要用学到的技术去搞破坏,本人鄙视这样的行为,学免杀只是为了技术的交流和进步,而不是抓鸡搞破坏。
Tools 
