危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18943141

免杀就是这么简单!

对于刚接触黑客知识的大家们来说,免杀是一个非常遥远的话题,他们毫不怀疑的会说,以自己的水平和能力,很难把一个木马进行免杀。那么今天,我就要告诉这些人们——免杀其实非常简单!相信大家在仔细的阅读了本文后,就会明白我为什么要这么说了。

一、工具的准备

1、灰鸽子,灰鸽子是国内一款非常著名的木马程序,它可以说是国内木马的集大成者,其丰富而又强大的功能,灵活多变的操作,良好的隐藏性等等,使得其它木马远控程序都相形见绌。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件,但如果拿它来做一些非法的事,那灰鸽子就成了很强大的黑客工具。

2、zprotect,Zprotect是新一代的软件加密保护程序,拥有了多项革命性的创新技术,以保护我们的软件产品不被破解,减少由于盗版而带来的经济损失。此外,Zprotect还拥有简单易用的许可控制系统,我们无需更改任何代码,就可以为软件添加注册机制。与使用传统软件保护系统相比,Zprotect更注重对于代码的处理,并且拥有良好的稳定性和兼容性,是进行软件保护时的最佳选择!

二、开始

本文我就介绍如何使用zprotect软件保护工具来将一个木马进行免杀,其实也就是将这个程序的代码进行加密,保护起来,并不是真正意义上的免杀,但只要能过杀毒软件的查杀,对我们来说,目的也就达到了。我使用了灰鸽子来给大家进行演示,因为这款木马程序在大家中的使用率非常高,以它为例来进行介绍,可以让大家更加轻松的学到知识!

1、鸽子服务端的配置

首先我们运行灰鸽子并配置一个服务端程序,相信这个过程大家都是轻车熟路了吧,当然我们也不能随便配置,按照原来的套路是不可取的,随便配置的结果只有一个,就是免杀无任何效果。

在自动上线的IP输入框中填写你的IP地址或域名(不建议使用IP地址,最好是使用动态域名),其它的设置根据自己的情况进行填写就可以了,因为它们对于灰鸽子的免杀并没有什么影响,不会因为设置的问题而造成免杀的失败、杀毒软件的报毒!

我们继续,在安装选项中,大家请尽量按照标准的样子来进行填写,但不必严格遵循,最好尽量少选这些东西,否则免杀会不成功的,因为杀毒软件的云安全会根据我们选择的这些附加的代码而更容易的检测出你的木马。安装路径是无所谓的,但最好不要安装在系统目录下,因为大部分人在查毒时只检查重要目录,而其余的目录不会进行查杀。我因为是演示,所以就随便找了个目录安装。

下面的几个选项,我要详细的介绍一下,第一个:“服务端安装成功后弹出安装成功提示”,这个选项肯定不能选择的,虽然不会有杀毒软件会因此而报毒,但该选项显示不符合木马隐蔽运行的原则,如果真的弹出了提示,笨蛋都会知道系统有问题的!第二个:“服务端安装成功后自动删除安装文件”,这项无所谓,删除后更有利于日后不被杀毒软件查到木马的源文件。第三个:“服务端启动后在桌面任务栏显示图标”,显示图标没有什么实际的作用,为了隐蔽和安全,当然是不显示。第四个:“服务端启动后开启中文聊天记录功能”,这项建议大家不要选择,因为它会导致一些专门查杀这类功能的杀毒软件报毒。

接下来也是比较关键的了,在启动项中有两个选项:1、Win98/2000/XP下写入注册表启动,建议选择该选项,这个选项不会引起行为监测的杀毒软件的报毒。2、Win2000/XP下优先安装成服务启动,建议不要选择,因为它会引起360安全卫士等安全软件的启动项增加提示。选择了上面这两个选项,很可能会导致免杀失败,除非有特别的需要,否则最好是不要选择!其余选项中的内容均无关紧要,大家可以根据自己对肉鸡的需要来进行设置。

2、免杀开始

首先,我们运行zprotect,对于这款软件,大家一定都很陌生吧。点击“打开”按钮,选择已经配置好的灰鸽子服务端程序,如果不是类似这样的,那么有可能你的灰鸽子在配置上有问题,注意这些加密标记都应该为0。

好了,我们继续进行下一步的操作,点击左边的“常规选项”,进去之后会看到一群密密麻麻的选项、设置,我们把这些都抛开不管,就看常规设置这一块儿,我们就是在这里面做一些手脚,好让它不畏杀毒软件坚决的查杀。取消“加密导入表”选项,至于原因吗,我就告诉大家:输入表是PE文件的必要组成部分,用于引导PE文件导入所需的API函数。加密输入表可以在一定程度上防止破解者还原导入函数的功能,让杀毒软件想还原也还原不了。

选中“区段名称”选项,并且随机设置一个加密码,不同的加密码会对我们的木马产生不同的保护,今天使用这个加密码制作的免杀如果被发现了,明天我们就可以更换另一种加密码来让这个程序依旧免杀。再选中“加密调用代码”,这样系统就会自动帮你加密灰鸽子里的调用代码,加密调用代码的Call指令,现在我们免杀的第一步就完成了!

我们再来选择“加密设置”中的“高级选项”,在“反函数钩子”中,程序会将选定的DLL代码移动到随机的地址运行,以防止被挂钩。我们只要选择“启用”,同时选择“使用默认配置”,这样模块kerne132.dll、user32dll、ntdll.dll就会被默认反挂钩了。在“VISO保护模块”中,选择“启用”,并且点击“重新分析”,现在免杀处理的第二步也就结束了。我们所有关于免杀要做的配置也都完成了,开始准备生成加密后的(也就是免杀的)灰鸽子服务端了,成功就在我们的眼前!

来到最激动人心的一步了,我们选择“应用保护”中的“立即保护”,点击“保护”按钮,稍等一下,就会看到界面,这就表明,我们对程序的保护,也就是对灰鸽子的免杀已经正式的结束了。

3、最后的测试

我们来检测一下兔杀的效果如何,使用金山毒霸对已经免杀的灰鸽子作一次检测,实时监控,没有任何反应,病毒扫描,也没有提示发现病毒,哈哈,我们的免杀真的很成功,金山杀毒软件已经无视了我们的木马,不做任何反应了!肉鸡上线也没有问题,功能上也没有任何缺失。不过,千万不要把这个已经做过免杀的灰鸽子上传到杀毒网上,否则做好免杀的灰鸽子也会再度被查毒软件查杀的!

为了测试效果,我在杀毒网上使用各大杀毒软件进行了一次检阅,结果很不错,只有极少的几款杀毒软件会报毒,而且更令人兴奋的是,所有国内有名的杀毒软件皆查不到任何病毒,怎么样,另类的免杀比特征码定位免杀的效果要好很多倍吧!

另外:想和危险漫步学技术的朋友可以看一下:给想跟危险漫步学技术的朋友一封信

相关推荐