看了这么久的黑防,读了不少免杀的文章,惟独没有看到关于傀儡僵尸的,在网上搜索仅仅发现2篇文章,其中一篇介绍的方法,我测试的时候已经失效了;另外一种方法,怎么测试都没办法上线,让人相当郁闷,再加上群里朋友经常要我做这个教程,今天难得有空,于是坐下来分析了一下这个号称中国最强的DDOS软件的免杀方法。免杀过卡巴斯基都说卡巴吃花指令,可毕竟网上流传的加花软件都基本上失效了。对菜鸟而言,自己写花指令不是一件简单的事情,况且傀儡我测试时发现脱壳加了花之后根本无法上线,所以最好的方法还是修改特征码。很多时候,特征码的修改并不需要懂太多汇编指令和跳转什么的,对菜鸟而言这些很头疼,那么不妨看看能不能简单的改字母大小写或把FF用00替换掉来免杀。首先配置生成服务端,由于是测试,我用的是1.0破解版的,大家支持下正版的好。生成好后用PEID查壳,发现是UPX的壳,如图1所示,直接用UPX Shell脱壳。值得注意的一点是,如果大家手动或者用别的方法脱壳的话,脱壳后一定要补上附加数据,否则脱壳后会无法正常运行。脱壳完了后,我们来测试是否能上线(记得备份),如图2所示。接下来就是定位特征码了,考虑到很多菜鸟可能对特征码的定位不太熟悉,这里简单的重复一下定位特征码的方法。打开MYCCL,点文件选择要处理的文件,勾上带后缀,在分段个数里填100,其他的默认,点生成,如图3所示,此时会在文件所在目录里生成OUTPUT文件夹,用卡巴斯基扫描,删掉被杀的,点二次处理,再用卡巴斯基扫描,直到不被检查出被杀文件,这时点击特征区间,在拉开的目录中用右键点击出现的地址,选择复合定位此处特征码,将分块个数酌情缩小(具体点就是先100,再50,再默认的7)。重复上述操作,直到单位长度为2,生成的文件不被杀为止,如图4所示,右边地址栏显示的便是特征码的位置。显然这里有两处特征码,这个时候先用C32Asm十六进制加载服务端(很多人总是喜欢直接用OD载入,有些时候会走不少弯路),这样做的目的是看能不能简单通过字母的修改或者将FF改成00而达到免杀的目的。答案是肯定的,这里我直接把结果告诉大家,把0000F858处的字母A改成a,把0000F96C处的第一个FF改成00,就可以成功躲过卡巴斯基的追杀(至于为什么这么改,大家自己想想看),简单吧?
免杀过AVGAVG虽然号称杀马第一,然而我觉得要过它还是很容易的,一般都能够用定位特征码,然后改字母大小写的方法来实现免杀。因为这个软件定位的特征码基本上很少是复合的,往往只需要更改一个字母,鼎鼎大名的AVG就成了睁眼瞎,让我们菜鸟很有成就感。下面我就具体的来演示一下过程,定位的方法上面提过,这里就不说了,直接给出结果。如图7所示,特征码出现在0000DF66处,用C32Asm.exe载入来到特征码地址,直接将第一个FF改成00,即可成功免杀。怎么样?轻轻松松就过了两大杀软了,根本用不着汇编或者抓破头皮拎着8个句子一起跳来跳去的,所以说这个方法最适合我们菜鸟朋友,希望大家可以掌握。这里就以定位这两个杀毒软件为例介绍,其他的大家可以用相同的方法来修改。
终极免杀过所有杀软可能有的菜鸟朋友嫌一个一个杀毒软件定位起来麻烦,没关系,接下来就要请出今天的重头戏MaskPE2.0和ASProtect.2.3.6.26.Modified了。前者说实在点,就是一个加区加花的,有几个不同的选择,我一般选择Import Table Iformation,感觉效果最好;后者是一款相当不错的壳。这里之所以要选择这两款软件来实现免杀,原因就是它们不仅效果好强度高,而且还能保留附加数据,这一点才是最重要的。当然,大家也可以根据自己的需要加其他的壳,但千万别把附加数据弄丢了,否则是无法运行的。操作看我勾的项目就好了,然后在模式中添加一个模式,把此模式是否激活前面的勾选上就可以点保护了。 到此,我们的傀儡僵尸的终极免杀法也该结束了,生成的文件已经完全不被查杀,上线也通过了。这里想补充一点的是,关于过卡巴斯基的主动防御的问题,我也常常被这个问题所困扰,看过无数免杀之类的文章或者教程,对此都是避而不谈。有人说让木马注册成为系统的非必须启动项就可以过主动防御,测试证明这实际上不可行。当前最好的办法就是修改系统时间,让卡巴斯基验证文件过期从而失效,然后在木马运行后把时间改回来,让卡巴斯基重新工作。写批处理很麻烦,好在一个朋友写了卡巴斯基主动防御杀手,测试效果还不错,除了下东西的时候会提示关闭、死了一次机外,其他的还不错,但终究不完美,难免有些遗憾。在此也希望高手能研究出更好的方法方便我们菜鸟。新年马上就要到了,借此祝黑防越办越好,祝大家肉鸡多多!
