动画介绍:大家好,这次给大家做个pcshare2006的免杀,版本是PcShare2006(测试版本0515)
是测试版本,本来是想等正版出来再做的,不过可能那时我也没钱买……
不要紧,希望大家看了这动画,也能从中得到一些收获吧
先来分析下:
首先是喀吧,15个文件中有4个被杀的(4个的,刚才做的时候有一个没删除
分别是:
PcHide.sys
PcInit.exe
PcClient.dll
PcKey.dll
江民也同是样的,瑞星也杀,金山只杀三个
有几个有彩色图标的,瑞星也杀,不过不要紧,只是这4个免杀了,我们生成的木马就免杀了.
下面开始:
1.PcInit.exe
OD载下,加花
原入口点:
00402850
004029FB 在这儿加花吧
就加这个:
7.
push ebp
nop
nop
mov ebp,esp
inc ecx
nop
push edx
nop
nop
pop edx
nop
pop ebp
inc ecx
loop 任意地址
nop
nop
这儿是小花:
00402A12 55 push ebp
00402A13 8BEC mov ebp,esp
要不只加一个花是不会过的.
再来修改一个跳转
可以了,保存
都过了
2.PcKey.dll
这个文件有些特别,我们先看入口点:0000177B
这是文件入口点,内存入口点为:1000177B
我们用OD载入时,却不会停在这儿的,
大家看到在这儿了:10001000
所以我们要转到入口点去加花才行
这才是真正的入口点,我们用去头加花法
1000177B PcKe>/$ 55 push ebp
1000177C |. 8BEC mov ebp,esp
1000177E |. 53 push ebx
1000177F |. 8B5D 08 mov ebx,dword ptr ss:[ebp+8]
10001828 在这儿加花吧,还是用上面刚才那个花
1000183F 在这儿写上刚才的头
10001822
OK加完了,这是新入口
还是会杀,得再修改下,晕了,这次不能运行了
不知哪儿错了,再来过
这次行了
哈哈哈
果然
上面免杀了两个不知能不能运行,测试下
运行了
应该是正常的,到了吧?只是不能记录中文
正常的!
OK
到下面这两个了,这两个都是比较麻烦的
3.PcClient.dll
这个我们用加壳再加花法
先来加个asp壳
不可能不杀
原入口:
1000C001
1000D15D 在这儿加花吧
这次加这个:Microsoft Visual C++ 6.0
新口:
1000D15D 55 push ebp
还杀!!
再修改一下
把:
jmp 1000C001
修改为:
jo 1000C001
jno 1000C001
哈哈
过了
4.PcHide.sys
下面到这个,这个可真有点麻烦了
不过不要紧,也是可以的
方法是先用:先用vmprotect加密入口点
用这个:C32Asm.exe找开这个sys文件
OD是不能载入的啊
OK
不知大家看清楚了没有?
完成了,多了一个PcHide.vmp.sys文件
网上有一个教程专说这个文件的免杀,大家不明白找下,我也是从这儿得到启发的
想不到喀吧也过了^^今天我试的时候是不过的
现在是江民没过
再加一个asp的壳
下面测试下^^
555不知会不会死机?今天就死了几次
这4个是免杀了的
还好,没死了,还免杀^^^^^
能行
杀下内存,瑞星内存也过了
这个做了免杀的我就不一起给大家了,相关工具大家搜索下载吧(已免杀的pcshare2006可到群里面下载) |
安全中国首页 > 动画中心 > 免杀动画
