灰鸽子如何免杀
1、启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
2、打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
3、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\\windows,2k/NT为C:\\Winnt)。经过搜索,我在Windows目录(不包含子目录)下发现了一个名为*_Hook.dll的文件。(注意:灰鸽子文件名是随机的,本人找到的是pood_hook.dll,以下就以本人找到的为例)
4、打开“Windows文件夹”-》点“查看”-》“排列图标”-》“按名称排列”然后找到以pood开头的文件,分别是pood.exe、pood.dll、pood_hook.dll、poodkey.dll 将这些文件删除并清空回收站。
5、单击“开始”—》“运行”—》输入“regedit.exe”回车,点击菜单“编辑”-》“查找”,“查找目标”输入“pood.exe”,点击确定,我们就可以找到灰鸽子的服务项“pood_Server”删除所有“pood_Server”项。
灰鸽子木马怎样做免杀
所有远控木马免杀都差不多,你要生成以后免杀也行,一生成就免杀也行,最好的后面那种。要一生成就免杀,只要免杀鸽子目录里Cache目录下的CServer.dat文件就行,至于具体免杀方法不是一句两句说的明白的。准备好几个工具:MYCCL,OD,还有你要过的杀毒软件,用MYCCL和杀软定位特征码,OD修改特征码,能过杀软并能正常使用就可以了
怎样使灰鸽子生成的木马做到免杀通过杀毒软件?有没有包教会我师傅级的,为了大学论文取材,愿付100元
很高兴为您解答:
你所说的是不可能实现的行为
当然你使用360是可以的
但是遇到腾讯电脑管家就不行了
没有任何病毒或是木马能逃的过腾讯电脑管家的法眼
建议使用腾讯电脑管家
1,使用电脑管家定期清理自己的垃圾,以保持自己的计算机常用常新;
2,使用电脑管家进行有效的拦截、清杀病毒。
3, 定期进行全盘扫描,让病毒无所遁形,如有难以清除的病毒请尝试在“安全模式”进行。
4,保持良好的上网习惯,不要随意点开陌生人或者来历不明的网址或者链接,对于陌生人发送的任何文件不要随意打开。
阿狸祝楼主祝您工作、生活愉快!!
灰鸽子怎么做免杀啊 ?
杀毒软件识别病毒靠的是特征码,其概念就如同一个人的体貌特征。打个比方,通过一个人的体貌特征,你就可以从一群人里找出哪个是你的朋友。
如果有一天他整容了,或者穿了一件密不透风的外衣,那么你就很可能认不出他了。
上面那句话就提供了两个免杀思路:
1、修改特征码,使它保证功能不变的前提下变换“相貌”。
2、加壳、加密,使其特征码不别看到。
那么我们就有如下两个对应的方法:
1、用MYCCl定位特征码,然后对特征码进行修改。这种方法楼主大概听不懂,所以也就不再详述了,如果想学的话可以到网上搜一下,我也可以教你(coldwinter2@163.com),只是得等我有空,我可是高三的学生啊。
2、找一些程序加密软件或加壳软件,对鸽子进行保护。这种方法简单易行,只是保护的时间不会很长。
那灰鸽子怎么免杀的?
手工免杀分类:
1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描,所得结果。
2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.
2>用OD载入,用杀毒软件的内存查杀功能.
什么叫特征码:
1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.
2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到
免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍)
3.下面用一个示意图来具体来了解一下特征码的具体概念
特征码的定位与原理:
1.特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软
件就不会报警,以此确定特征码的位置
2.特征码定位器的工作原理:原文件中部分字节替换为0,然后生成新文件,再根据杀
毒软件来检测这些文件的结果判断特征码的位置
认识特征码定位与修改的工具:
1.CCL(特征码定位器)
2.OllyDbg (特征码的修改)
3.OC(用于计算从文件地址到内存地址的小工具)
4.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)
特征码修改方法:
特征码修改包括文件特征码修改和内存特征码修改,因为这二种特征码的修改方法
是通用的。所以就对目前流行的特征码修改方法作个总节。
方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能
否正常使用.
方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.
如果和我一样对汇编不懂的可以去查查8080汇编手册.
方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
木马免杀的综合修改方法:
文件免杀方法:
1.加冷门壳
2.加花指令
3.改程序入口点
4.改木马文件特征码的5种常用方法(参见“修改内存特征码”)
5.还有其它的几种免杀修改技巧
修改内存特征码:
1.直接修改特征码的十六进制法
2.修改字符串大小写法
3.等价替换法
4.指令顺序调换法
5.通用跳转法
灰鸽子怎样过360免杀
要想过360,就要做如下步骤:一;把入口的头二句移到零区域执行,二;入口点加1,三;更换图标,四;修改版权,五;修改字符串,六;加生僻壳,七;改壳,八;改特征码。如果你是在网上下载的灰鸽子或者世面上流行远控,这八个步骤就缺一不可,否则是过不了360的。另外改DAT文件是过不了360的,改DAT文件是针对特征码特别少的远控。大家看到网上的教程用一种方法就能过360,而且特征码只有一 二组,那是别人做过源码免杀的。
灰鸽子木马怎么免杀?
免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。免杀分为手工免杀和开源免杀。手工免杀即为特征码免杀和无特征码免杀,特征码免杀就是通过定位找到特征码然后进行修改达到免杀效果,无特征码免杀就是通过加壳加花改壳达到免杀效果,但是对于国外的杀软查杀,一般都是杀在输入表上,这种时候只能进行无特征码免杀,对输入表进行重建和隐藏,手工免杀的免杀时间不长。开源免杀就是得到木马的源代码进行修改,通常先进行定位特征码然后进行修改,当定位到字符串时只要加nop就好,但是对于查杀在查杀注入表的地方就可以进行动态调用,还有什么不明白可以加我QQ810785989
灰鸽子生成的木马怎么做免杀 说的详细一点
要做木马的免杀程序是;用OD“加花”----“去头”----或者用OD把木马的“入口前二句”移到零区域执行-----再用PE再把木马的“入口点加1”可过360的高启发查杀----再用restorator更换木马的“图标”和“界面”----再加(生僻“壳”)-----用吾爱破解专版改“壳”(改壳必须熟悉汇编语言)----再用multiCCL定位木马的特征码,最后用C32修改木马的“特征码”(必须熟悉汇编语言)。木马免杀完成。灰鸽子木马将这些程序完成后可过360和大部分杀毒软件。不常用的远控软件生成的木马直接加“生僻壳”可过360和大部分杀毒软件。你要详细解说是没办法说完的。