希望通过这篇帖子引起杀毒软件的注意.. 现在国内杀毒软件好像都是用的特征码杀毒和行为规范吧?所以现在要做免杀真的很容易..我还10来岁孩子就能轻松做免杀.那些专门从事这个行业的呢?会让我们用户好过吗?一些免杀方法..杀毒软件能防止这些吗?
希望大家都别做破坏.试验用虚拟机就行了.要放都别放给中国人.太阳那个字还有个念发怎么念啊..给它们国家就行了..要让我们国家安全事业发展起来 我们大家都要努力哦..
用到的软件 :
1.ResScope 分离DLL
2.OLLydbg 特征码修改(汇编)
3.C32Asm 16进制编辑器
4.PosConv 点睛内存偏移量工具
5.MyCCL 特征码定位
6.一款一般的远控,别找鸽子,都成了杀毒软件的必杀了.
大概说一下杀毒软件的原理. 比如你的病毒软件有1000行代码,在第999行有个5a
被杀毒软件定义为病毒特征.那么就只要是软件只要是在999行出现5a就认为是病毒.当然不是5a就不是了.所以我们只用改成不是5a就达到的免杀的目的.
第一步.生成病毒exe(网上教程一堆,就不重复说了,在提醒希望别做坏事.)
第二步.用ResScope打开生成的exe.展开文件夹,选择下面唯一的文件.在点文件>导出>重命名1.dll
第三步.用MyCCL打开这个dll文件.操作方法如下:
1.单击文件>选择1.dll
2.设置分块数量别太多,不然机器卡.一般99(其他会自动填)
3.点击生成 (会把文件分成99个.每个文件去掉一部分,看是不是去掉的特征部分)
4.用杀毒软件给新生成的文件夹杀毒.(杀出的毒点删除文件)
5.在选择2次处理.(反复这样)直到杀不出毒了.点特征区间,右击特征区间选择复合定位此处特征.在选择生成>杀毒>二次处理.反复这样直到提示注意:出现特征码...
第四步:说个简单的方法.直接用 C32Asm打开选16进制,找到特征码处改成00就行了.呵呵 .不过有可能会功能丢失 .
一般方法:找到内存位置,用PosConv打开1.dll文件 在实偏移填刚找到的特征码,如果是0000C327_00000002 就填0000C327;
然后用OLLydbg打开定位到虚偏移量那里.看到那里的汇编语句没.有编程基础的直接改的相同功能指令就行了.
没有的我教大家一个通用跳转指令,虚偏移量那里的上一行下一行都复制出来,先粘贴到纪事本上,在粘贴到最后都是00000的空间,那里是没有代码的.然后 前面用nop填充掉同,在填充的地方加入指令push+空格+你要跳的地址(就是粘贴的第一行地址000XXXXX),在下一nop行填retn
找到你张贴的地方.最后一行下面也加入指令push+空格+你要跳的地址(就是上面被填充nop的最后一行地址000XXXXX),在下一行填retn
第五步:看下dll是不是杀毒软件不认了?呵呵,别高兴只完成一半了,在用ResScope打开生成的exe展开文件夹,选择下面唯一的文件.在点文件>导入>1.dll 看下自己的虚拟机能不能上线...
第六步:在做exe的免杀. 方法一样用MyCCL定位exe的特征码在用上面改dll方法改掉. 完成后看还杀不杀,不杀了在看能不能上线.如果一切OK那么恭喜你 瑞星免杀了..呵呵 同样方法 在免杀金山 卡巴 江民吧..呵呵 就是定位特征码那里用不同的杀毒软件杀就能定位出各自的特征码..
最后希望大家遵守国家相关法律.不要去做破坏别人的事情..不是"人"的除外哦..嘿嘿 你们要是做了什么可不关我的事哈.现在不是很流行免责申明啊...
我只说了步骤,和方法..如果有具体不懂的地方 去网上搜吧 ..一搜一大堆..有步骤了在看看别人怎么做很轻松就能学会..
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; CIBA; InfoPath.2; GreenBrowser)
