灰鸽子免杀

灰鸽子免杀的免杀方案

一.木马免杀综合方案修改内存特征码--->1>入口点加1免杀法 1>加压缩壳1>--->再加壳或多重加壳2>变化入口地址免杀法 2>加生僻壳--->2>加壳的伪装.3>加花指令法免杀法 3>加压缩壳3>--->打乱壳的头文件4>修改文件特征码免杀法以上免杀方法可以自由组合成多种不同的免杀方案。二.常用免杀方案1.实例完全免杀方案一：内存特征码修改+加UPX壳+秘密行动打乱壳的头文件。所需工具：UPX加壳工具，秘密行动2.完全免杀方案二：内存特征码修改+加花指令+加压缩壳3.完全免杀方案三：内存特征码修改+加压缩壳+加壳的伪装或多重加壳4.完全免杀方案四：内存特征码修改+去头变换入口点地址+压缩壳5.完全免杀方案五：内存特征码修改+修改各种杀毒软件特征码+压缩壳6.完全变态免杀方案六：内存特征码修改+加花指令+去头变换入口点+加UPX壳+用秘密行动打乱壳的头文件（Ps：最牛的勒。。）三.解决加花指令后运行出错问题1.分析其原因：我们加花指令时，一般都找代码段最后面的空白代码地方也就是所谓的零区域，然后把我们准备好的花指令填进去，然后一个跳转跳到入口点。但是我们木马的体积比较大，从入口点到最后面零区域的间隔比较远，所以从低部跳到头部由于间隔较远就非常容易出错。3.新研究的免杀方法完美的解决了该问题：我把它取名为：中间过渡跳转法实例演示：中间过渡跳转法来修改灰鸽子V1.22版或VIP2.0版。中间过渡中转法实现原理：首先我们在代码段的中间位置,备份部分代码,然后把我们要添加的花指令写进去,写完后,再跳到零区域,在这个零区域填入刚才我们备份好的代码.填完后又要跳回填入花指令的生面.总之一句话:把花指令填在代码中间,被花指令覆盖的代码移到零区域去执行,然后又要跳回来.最后把入口点改成花指令的首地址.这样就算完事了.4.该新的免杀技术优点:以前的花指令只能填到零区域,也就是说入口点一般都比较后面,所以有时会被卡巴查杀,但有了这种新方法后,程序入口点就变的非常灵活,可以定位在代码段的任何位置,每定位一个新的入口点就是一种新的免杀方案.而且这种方法对付卡巴也很有效.把入口点放到代码段的中间,是杀毒软件万万想不到的,所以免杀效果是最好的.同时他解决了由于跳转太远使程序无运行的缺点,所以这种方法是相当完美的免杀方法.希望大家灵活运用

灰鸽子免杀的独门绝技

绝技一：快速搞定瑞星文件查杀操作步骤：第一步：用OD载入，来到程序的入口点。第二步：把入口点的第一句PUSH　EBP　改成POP　EBP　然后保存就可以躲过瑞星的表面查杀。绝技二：快速定位与修改瑞星内存特征码原理：因为目前的内存查杀杀毒软件，只有瑞星才能威胁到我们的木马。也就是说只要搞定瑞星的内存查杀，那我们的木马在内存就畅通无阻了. 但由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.操作步骤:第一步:首先用特征码定位器大致定位出瑞星内存特征码位置.第二步:然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.绝技三:如何快速躲过诺顿的查杀诺顿的查杀特点:大家有时候会发现,通过改特征码,加花指令,改内存特征码,等等,卡巴,江民,金山,瑞星都过了,但无论如何都过不了诺顿,这时候是不是感到很纳闷.其实诺顿特征码的定义和其它杀毒软件不一样,其它杀毒软件的特征码都在代码段而只有它把特征码定义在PE头文件里面.而在头文件里面,一般都用字符串作为病毒特征码,知道了原理,就有下面的二种方法来应付.方法一:只要把头文件的字符串的大小字互换一下就可以搞定了.方法二:有二款压缩软件WinUpack和北斗星,经过他们的压缩,会把我们的木马程序的头文件改的面目全非.所以把我们的木马做好其它的杀毒软件的免杀后,再用这二款压缩软件的压缩就可以躲过诺顿的查杀.绝技四:一个不太通用的免杀方法免杀方法一:把入口点第三句开始的几行(20字节内)汇编代码移到零区域去执行,也达到一定的免杀效果.绝技五:用VC++加了花指令后入口点下移法操作过程:加花指令后,可以把入口点下移好一位,这样可以进一步达到免杀效果.

灰鸽子免杀的免杀新技术

[虚拟机加密免杀]和[壳中改籽] 最新免杀技术——虚拟机加密代码应用并非传统的修改特征码，也不是修改入口点+花指令，更不是加壳压缩！是最新的一种免杀技术！借于这种技术你可以千变万化，是免杀对新手来说更为简单！大家对虚拟机vmprotect是否有所了解，这个是最新的加密工具！可以加密PE文件中任何一句或一段代码自然可以给我们用来免杀了！免杀工具：vmprotect1.07或1.06 PEID UPX免杀步骤：原理说明：加密区段代码使杀毒软件无法识别！你可以找特征码，找到后加密特征码的代码！用PEID查看入口点：假如这里的入口点是0007DB74 基址是 004000003.用虚拟机vmprotect打开要免杀的文件，添加地址0047DB74=00400000+0007DB74 基址+入口点4.选代码区域->转存->F9保存5.测试运行->可以成功运行6.用UPX压缩一下，缩小体积，OK 免杀成功总结：虚拟机加密代码是比较新的免杀技术，可以和其他免杀技术有机的集合在一起，让你的木马变成金刚不坏.大家要多多掌握。 这种免杀很少有人用，所以免杀效果非常好，各大黑客网站也很少见到介绍，这里我把别人做黑洞免杀的文章发到这里，供大家研究.估计是浩天写的文章先讲一下为什么这种技术叫“壳中改籽”。配置一个黑洞的服务端，然后用PEiD.exe来查看它是用什么加的壳，查到是UPX加的变态壳，程序的区段都给隐藏了，那么先得给黑洞服务端脱壳。用 upxfix.exe打开它，然后在Decompress method里面选择5，点击fix，这样就修复了。再用PEiD.exe查一下，看现在可以看到区段了吧。为什么我一再提到这个区段呢？其实它就是文章的重点，也就是壳里面的籽。继续脱壳，用UPXShell打开修复好的黑洞服务端，点击解压缩，完成后我们可以看到程序由原来的201 kb变成了506 KB ，大了一倍多。有人可能要问为什么一定要给它脱壳呢？直接修改不可以吗？其实主要是因为黑洞的服务端里还有一个用做键盘记录的dll文件，它也要做免杀处理。用 Resscope1.92打开黑洞的服务端，这个可是绝好的exe资源编辑器啊，先选择dllfile里面的getkey，然后点击文件→导出资源，这样 dll文件就导出来了。它也是用upx加的变态壳，因为区段被加密了，所以我们也要给它脱壳，再加壳。脱壳的过程和先前脱黑洞服务端一样先用 upxfix.exe打开它，但是这里注意在Decompress method里面，不要选择5，而是选择2修复，不然的话就脱不了壳了。接着用UPXShell解压缩，现在dll文件的大小由原来的11 kb变成了18.5 kb，然后再用UPXShell重新给它加上壳。修改upx壳里面的籽把UPX加过壳的dll文件，用PEiD.exe打开查看，这里有几个数据需要我们记录，等下和修改后的文件做比较用。先分别把程序入口点：000C220、文件偏移量：00002620 ，记录下来，然后点击查看EP区段，在区段查看上面再点右键选择cave查找器，把upx壳区段upx1的RVA：0000C3B5、 偏移：000027B5等参数也记录下来。关键的时刻到了，reloc.exe闪亮登场。因为reloc 是一款命令下的工具，所以为了操作方便，我建议大家写一个bat文件和reloc放在同一目录。我们开始记录的数据现在派上用场了，编辑bat文件格式如下：reloc 待修改程序 $程序入口 $文件偏移量 $壳的区段入口 $区段偏移 参数那么对应我们的黑洞键盘记录dll文件所记录的数据，这个bat就应该这样写：reloc 键盘记录.dll $C220 $2620 $C3B5 $27B5 5数据前面的零不要写到bat里面，另外最后面的这个参数大家注意，其实它是设置修改时的偏移量的，一般dll文件选择5，exe文件选择5-9之间的数，一般选择6就好了。设置完了，我们运行这个bat文件，开始修改。完毕之后我分别用国内和国外最强的杀毒软件江民、诺盾和卡巴斯基对键盘记录.dll进行扫描，它们均未发现病毒，我们的木马成功躲了过去。用PEiD.exe重新打开，可以发现PEiD已经无法分别键盘记录.dll是什么壳了，把原来记录的几个数据和现在对比一下发现程序入口和文件偏移量没有，而壳区段入口和区段偏移却改变。飘舞的风在上一期的文章里面说道：“peidv0.92是通过每个程序的开头几十个字节来比较是那种壳。”，看来不仅仅如此，peidv0.92还把壳的区段入口开头的几十个字节也作为了用来判断壳的类型的特征代码，杀毒软件也是如此，这样简单修改一下我们的木马就免杀了。着把这个已经修改好的dll文件，导回到黑洞的服务端,方法和导出dll是一样的，我就不再讲述了，然后把它用UPXShell再次加壳，加壳后的大小为200 kb。现在可以开始我们的第二次免杀之旅了，同样用PEiD.exe把程序入口、文件偏移量、壳的区段入口、区段偏移，等数据记录下来，写入bat文件。我的bat是这样写的：reloc 1.exe $88620 $30A20 $887A3 $30BA3 6我前面已经讲过了，修改exe文件的时候，参数选择5-9之间的数，一般选择6就好了。现在运行bat文件，黑洞服务端的免杀就全部完成了。用 PEiD.exe查看，显示的是“Nothing found”看来PEiD已经不认识它了，再用江民、诺盾和卡巴斯基查杀，均显示无病毒，呵呵，欺骗成功。四、结语经过这么简单的修改以后效果是非常好的，相信以后这样的免杀技术将会成为主流技术，因为它简单实用。分析它实现免杀的原理，不难看出换一个角度思考问题的重要性，从壳的修改转到壳中籽的修改，不能不说这是一种创新，它使木马的免杀之路变宽了。最后谢谢 “朋友的家”提供一款这样优秀的工具。如果大家能够把这种技术和我前面提到的另外三种结合起来使用，相信它将是无懈可击的免杀新技术之OD一半定位法不知道是那位牛人想出来把这方法用到木马免杀上，这个方法让很多不会用偏移定位特怔码的朋友也能够很容易掌握到特怔码的位置，实在是很高明又很简单的免杀好方法.这里我就根据他的方法详细介绍OD一半定位法所谓OD一半定位法很简单，就是用OD载入需要做免杀处理的文件，用NOP填充一半的代码然后保存，接着用杀毒软件查毒，如果有毒就在把另外一半用 NOP填充，如果没报毒就证明特怔码就在刚刚填充的那一半，然后又对那一半进行1/2的NOP填充，这样不断缩小范围，很容易就找到需要修改的代码部分。如果是做内存免杀就把NOP填充好的文件用OD打开进行内存杀毒。怎么样？是不是很容易掌握的方法？不过需要注意的是新手用这个方法最好每做一步都把NOP填充的开头和结局部分的地址用纪事本保存，免得一旦忘记又从头来.如果特怔码不止一处，你就要大致定位到有特怔码这一大段，然后把这一段的一半用NOP填充并且保存，接着打开保存的文件对另外一半继续刚刚开始的步骤，这样很快就能够定位出几处特证码所在的位置.还是那句话，熟练就好，另外需要注意填充后查出的病毒名字有没有改变，如果改变就证明你填充的那段存在特怔码，这样可以省掉不少时间。

灰鸽子病毒怎么杀

您好1，您可以先到腾讯电脑管家官网下载一个电脑管家。2，然后重启电脑按F8进入带网络连接的安全模式。3，然后打开电脑管家——杀毒——全盘查杀。4，电脑管家拥有的基于“云查杀与微特征技术”的新一代电脑管家云查杀引擎和本地反病毒引擎，可以将灰鸽子病毒检测出来，并及时查杀掉。如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

什么免费杀毒软件可以防止灰鸽子？

您好1，您可以到腾讯电脑管家官网下载一个电脑管家，电脑管家就是完全免费的杀毒软件。2，电脑管家拥有16层实时防护功能，可以从上网安全、应用入口、系统底层等全方位保护电脑安全，避免木马病毒侵袭。3，尤其灰鸽子，都是通过文件下载来传播的，电脑管家拥有云智能预警系统，可以在木马活动早期侦测并阻断木马的破坏行为，通过云查杀技术秒杀最新流行木马，避免您电脑被肉鸡。如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

怎样查杀灰鸽子木马

灰鸽子的查找与确认
第一 ,重新启动计算机, 根据操作系统的不同进入安全模式(98按住Ctrl, 2000以上版本按住F8), 在启动选项菜单里选择 "安全模式" .

第二, 打开 "我的电脑", 选择菜单 "工具" ====> "文件夹选项" , 点击 "查看" 勾选 "隐藏受保护的操作系统文件" , 并在 "隐藏文件和文件夹" 项中选择 "显示所有文件和文件夹" 然后点击 "确定"

第三, 打开Windows的 "搜索文件" , 文件名 称输入 "_hook.dll" 搜索我的电脑(推荐)

第四, 经过搜索，我们在Windows目录(不包含子目录)下发现了一个名为 X_Hook.dll (这个X可能为任何名称)的文件。
第五, 根据灰鸽子原理分析我们知道，如果 X_Hook.DLL 是灰鸽子的文件，则在操作系统安装目录下还会有 X.exe 和 X.dll 文件. 打开Windows目录, 果然有这两个文件, 同时还可能有一个用于记录键盘操作的XKey.dll文件(盗号的就是它了!).

灰鸽子的手工清除

　　 经过上面的分析, 清除灰鸽子就很容易了. 清除灰鸽子仍然要在安全模式下操作, 主要有两步

1, 清除灰鸽子的服务
2, 删除灰鸽子程序文件.

　 (注意:为防止误操作，清除前一定要做好备份.)

一、清除灰鸽子的服务

2000/XP系统:

　　 1, 打开注册表编辑器(点击 "开始" ===> "运行" , 输入 "Regedit" ,确定) 打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 注册表项。

　　 2, 点击菜单 "编辑" ==> "查找" , "查找目标" 输入 "X.exe" , 点击确定，我们就可以找到灰鸽子的服务项(此例为X_Server).
　　 3、删除整个X_Server项。

98/me系统:

　　 在9X下, 灰鸽子启动项只有一个, 因此清除更为简单. 运行注册表编辑器, 打开 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 项, 我们立即看到名为Game.exe的一项, 将Game.exe项删除即可.　　

二、删除灰鸽子程序文件

　　 删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的X.exe , X.dll, X_Hook.dll以及X.dll文件, 然后重新启动计算机. 至此, 灰鸽子服务端已经被清除干净.

最后想说的话: 在internet上,没有任何一台连接了网络的电脑是绝对安全的. 没有任何一个防火墙是万能的. 只有建立良好的自我保护机制, 才能从根本上杜绝木马带来的威胁.

免杀灰鸽子或者木马怎么查出来

您好1，您可以先到腾讯电脑管家官网下载一个电脑管家。2，然后重启电脑按F8进入带网络连接的安全模式。3，使用电脑管家——杀毒——全盘查杀，电脑管家拥有管家第二代鹰眼智能反病毒引擎，可以根据病毒微特征和智能云鉴定，检测出隐藏的木马病毒。4，如果检测无毒，说明您下载的是一个虚假软件，不存在生成病毒功能，可以放心。如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

那灰鸽子怎么免杀的？

　　手工免杀分类：
　　1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描，所得结果。
　　2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.
　　2>用OD载入,用杀毒软件的内存查杀功能.
　　什么叫特征码：
　　1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.
　　2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到
　　免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍)
　　3.下面用一个示意图来具体来了解一下特征码的具体概念
　　特征码的定位与原理：
　　1.特征码的查找方法:文件中的特征码被我们填入的数据（比如0）替换了，那杀毒软
　　件就不会报警，以此确定特征码的位置
　　2.特征码定位器的工作原理:原文件中部分字节替换为0，然后生成新文件，再根据杀
　　毒软件来检测这些文件的结果判断特征码的位置
　　认识特征码定位与修改的工具：
　　1.CCL(特征码定位器)
　　2.OllyDbg (特征码的修改)
　　3.OC(用于计算从文件地址到内存地址的小工具)
　　4.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)
　　特征码修改方法：
　　特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方法
　　是通用的。所以就对目前流行的特征码修改方法作个总节。
　　方法一:直接修改特征码的十六进制法
　　1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
　　2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能
　　否正常使用.
　　方法二:修改字符串大小写法
　　1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
　　2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
　　方法三:等价替换法
　　1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
　　2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.
　　如果和我一样对汇编不懂的可以去查查8080汇编手册.
　　方法四:指令顺序调换法
　　1.修改方法:把具有特征码的代码顺序互换一下.
　　2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
　　方法五:通用跳转法
　　1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
　　2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
　　木马免杀的综合修改方法：
　　文件免杀方法：
　　1.加冷门壳
　　2.加花指令
　　3.改程序入口点
　　4.改木马文件特征码的5种常用方法（参见“修改内存特征码”）
　　5.还有其它的几种免杀修改技巧
　　修改内存特征码：
　　1.直接修改特征码的十六进制法
　　2.修改字符串大小写法
　　3.等价替换法
　　4.指令顺序调换法
　　5.通用跳转法

灰鸽子木马怎么免杀？

免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），逐字翻译为“反-反病毒”，翻译为“反杀毒技术”。免杀分为手工免杀和开源免杀。手工免杀即为特征码免杀和无特征码免杀，特征码免杀就是通过定位找到特征码然后进行修改达到免杀效果，无特征码免杀就是通过加壳加花改壳达到免杀效果，但是对于国外的杀软查杀，一般都是杀在输入表上，这种时候只能进行无特征码免杀，对输入表进行重建和隐藏，手工免杀的免杀时间不长。开源免杀就是得到木马的源代码进行修改，通常先进行定位特征码然后进行修改，当定位到字符串时只要加nop就好，但是对于查杀在查杀注入表的地方就可以进行动态调用，还有什么不明白可以加我QQ810785989

别人所说的灰鸽子具体是什么东西？

灰鸽子病毒
病毒描述：

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者，其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。灰鸽子木马可以在用户毫无察觉的情况下，任意操控用户的电脑，帐号密码被盗、隐私被泄、机密文件丢失等等，而入侵者在满足自身的私欲之后，可自行删除灰鸽子文件，这一过程用户根本无法察觉。

Backdoor/Huigezi.cm“灰鸽子”变种cm是一个未经授权远程访问用户计算机的后门。“灰鸽子”变种cm运行后，自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，记录键击，盗取用户机密信息，例如用户拨号上网口令，URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外，“灰鸽子”变种cm可下载并执行特定文件，发送用户机密信息给黑客等。