gh0st源码免杀(gh0st源码下载)
本文目录一览:
远控源码免杀需要什么工具
远控软件gh0st源码免杀
远控软件gh0st3.6开源了,开源意味着我们可以在此基础上进行二次开发,同时也意味着杀软可以较容易的查杀该款远控木马,既然要利用,我们就做好源码基础上的木马免杀工作。
好久没有来博客了,我把免杀这部分整理了一下,先抛一砖头,有兴趣的朋友可以接着做,也可以和本人交流。
序
gh0st远控软件采用驱动级RESSDT过主动,svchost参数启动,替换系统服务的方式工作的,工作方式较为先进,美中不足的部分是没有进行驱动级或用户级隐藏,当然这部分可以添加进去。编码利用了VC的编程环境。
一、环境配置
编译环境一定要配置好:DDK+SDK+VC6,DDK用来编译sys文件的,SDK+VC6是用来编译工程的,配置部分比较简单,网上有很多资料,这里不再详述,有兴趣的朋友也可以查看DDK和SDK的相关帮助。
二、特征码定位简述
杀毒软件查杀木马的原理基本是根据特征查杀的,被查杀的部分我们称之为特征码,所以我们可以利用特征码定位工具MyCLL定位出病毒的特征码位置,定位工具原理是将被扫描木马分块,利用分段填充的方式,匹配杀软的特征值,找到杀软查杀病毒的位置。
定位出特征码,如何反向找到源码中的对应位置呢?请看下面分析,
三、二进制文件与源码定位之map文件利用
map文件是二进制和源码之间对应的一个映射文件。
我们假设根据第三步我们定位出了病毒的特征码:
病毒名称 特征码位置 内存地址
svchost.dll 000038AA_00000002 100044AA
svchost.dll 00005F98_00000002
第一步设置VC编译环境生成Map文件。
在 VC 中,点击菜单“Project - Settings”选项页(或按下 Alt+F7),选择 C/C++ 选项卡,并在最下面的 Project Options 里面输入:/Zd ,然后要点击 Link 选项卡,选中“Generate mapfile”复选框,并在最下面的 Project Options 里面输入:/mapinfo:lines,表示生成 MAP 文件时,加入行信息。设置完成。
第二步编译VC工程,设置活动工程编译即可,这个不用说明。这个步骤完成后,在release(或debug)目录,多了一个.map文件(比如svchost.map)。
第三步打开map文件(用UE或文本编辑器打开都行),形式如下:
(begin)
Timestamp is 488fcef2 (Wed Jul 30 10:16:18 2008)
Preferred load address is 10000000
---------------------------------------------------------------------------1----(为方便说明,wrw添加)
Start Length Name Class
0001:00000000 00010a50H .text CODE
0001:00010a50 00000485H .text$x CODE
0002:00000000 000004c8H .idata$5 DATA
......
0003:00000010 00000004H .CRT$XIZ DATA
0003:00000020 00001a50H .data DATA
0003:00001a70 00000688H .bss DATA
0004:00000000 000000a8H .rsrc$01 DATA
0004:000000b0 00000cf0H .rsrc$02 DATA
----------------------------------------------------------------------------2---(为方便说明,wrw添加)
Address Publics by Value Rva+Base Lib:Object
0001:00000000 ??0CAudio@@QAE@XZ 10001000 f Audio.obj
0001:000000d0 ??_GCAudio@@UAEPAXI@Z 100010d0 f i Audio.obj
0001:000000d0 ??_ECAudio@@UAEPAXI@Z 100010d0 f i Audio.obj
0001:000000f0 ??1CAudio@@UAE@XZ 100010f0 f Audio.obj
0001:000001e0 ?getRecordBuffer@CAudio@@QAEPAEPAK@Z 100011e0 f Audio.obj
0001:00000240 ?playBuffer@CAudio@@QAE_NPAEK@Z 10001240 f Audio.obj
0001:000002c0 ?InitializeWaveIn@CAudio@@AAE_NXZ 100012c0 f Audio.obj
......
0001:00003310 ?SendToken@CFileManager@@AAEHE@Z 10004310 f FileManager.obj
0001:00003320 ?UploadToRemote@CFileManager@@AAE_NPAE@Z 10004320 f FileManager.obj
0001:00003440 ?FixedUploadList@CFileManager@@AAE_NPBD@Z 10004440 f FileManager.obj
0001:00003670 ?StopTransfer@CFileManager@@AAEXXZ 10004670 f FileManager.obj
0001:00003730 ?CreateLocalRecvFile@CFileManager@@AAEXPAE@Z 10004730 f FileManager.obj
......
----------------------------------------------------------------------------3---(为方便说明,wrw添加)
Line numbers for ./Release/FileManager.obj(E:/vtmp/gh0st3src/Server/svchost/common/FileManager.cpp) segment .text
17 0001:00002630 20 0001:0000267f 21 0001:00002698 24 0001:000026d0
25 0001:000026f8 26 0001:0000273c 29 0001:000027d0 33 0001:000027ee
77 0001:000027f8 36 0001:000027fb 37 0001:00002803 77 0001:0000280d
......
532 0001:0000340f 534 0001:00003414 537 0001:00003428 540 0001:00003440
546 0001:0000345d 547 0001:00003487 548 0001:00003490 549 0001:00003492
551 0001:0000349e 552 0001:000034b8 553 0001:000034cb 554 0001:000034d4
558 0001:000034de 560 0001:000034e9 563 0001:000034ee 564 0001:00003506
......
(end)
我们看下,定位svchost.dll 的第一个特征码内存地址为:100044AA,在第2块中,我们可以找到RVA+BASE与之很接近的是
0001:00003440 ?FixedUploadList@CFileManager@@AAE_NPBD@Z 10004440 f FileManager.obj
这样我们可以定位到FileManager.cpp中的FixedUploadList函数,是不是范围缩小了?
下面我们再缩小代码行
利用这个公式:特征码行偏移 = 特征码地址(Crash Address)- 基地址(ImageBase Address)- 0x1000
看起来好像很难,其实很简单,我们将100044AA去掉内存基址10000000,再减1000,因为PE很多从1000开始,可以得到代码偏移地址为34AA。到第3块中找对应的代码行。
偏移地址34AA在(551 0001:0000349e 552 0001:000034b8 )中间,也就是551行和552行中间,我们到源程序中查找第551行:
wsprintf(lpszFilter, "%s%s*.*", lpPathName, lpszSlash);
这样就定位出源代码了,要怎么修改就怎么修改它就可以了。
四、实战免杀
A、卡巴免杀
首次编译后,先做卡巴的免杀。卡巴杀sys文件和dll,当然也就杀包装它们的install.exe,最后卡巴还杀生成的sever,我这里说杀生成好的server不是和前面的特征码重叠的地方,而是杀配置信息。
第一步、sys免杀
sys重新编译后,增加了输入表的函数,同时系统不同,造成很多地方不同于原特征,顺利通过卡巴、金山、小红伞等杀软。
第二步、svchost.dll免杀
特征码定位MultiByteToWideChar和"gh0st update"两个位置。这里是通过第3步map文件得出的。
卡巴怕加花指令, 这个函数MultiByteToWideChar的调用上,可以在这个函数前面随便加几句无效语句就可以通过卡巴杀软。
字符串调用"gh0st update" ,这个是用于更新用的 ,如果不要在线更新,直接把这个语句所在代码块删除;嘿嘿,其实搜索工程替换这个字符串为其他的字符串就可以了^_^,这个方法同时可以过金山杀软。
第三步、server免杀
卡巴定位在最后的配置信息,采取跳转显然是不行的,采用加花的办法,在写入AAAAAA配置信息之前,随便写些东西,就可以做server免杀。
卡巴免杀完成!
B、Avast免杀
最新的avast杀软再查杀1下,杀install.exe和svchost.dll(也就是杀生成的文件和其中的资源文件),接着做它的源码免杀。
定位在特征字符串%02d/%02d/%02d和“SYSTEM/CurrentControlSet/Services/%s”两个地方。
解决方案:
1、svchost.dll的特征码定位在键盘记录KeyboardManager.cpp文件中的SaveInfo(char *lpBuffer)函数。特征字符串%02d/%02d/%02d,也就是我们看到键盘记录的日期,修改之,修改的方法很多,将其改为[%d/%d/%d %d:%d:%d] ,编译即可通过avast杀软。
2、install的特征码定位在“SYSTEM/CurrentControlSet/Services/%s”,对应文件是install.cpp里的InstallService函数,修改大小写,编译即可通过免杀。
五、添加垃圾代码的小方法
垃圾代码要移动特征码所在的位置,不要跑到堆栈中了,这样的代码没有用。可以采取添加for循环,做计数,简单统计,采用局部变量,不改变后面的逻辑为宜。
添加输出表的方法:
有杀输出表的,可以在生成的svchost.dll上添加空函数 ,但是每次编译都要修改1次资源 ,其实我们在源码上添加如下语句:
extern "C" __declspec(dllexport) bool JustTempFun();//声明
……
extern "C" __declspec(dllexport) bool JustTempFun() //实现
{
return false;
}
编译后,输出表就被改变了,有的杀软就可做到代码免杀。
六、gh0st自动生成6to4ex.dll的修改
看到好多站友提问自动生成6to4ex.dll的问题,有热心站友也提出了自己的见解 ,我感觉有些人提出的解决方案不完全正确,有可能造成刚入手人误解,我根据自己的理解说明1下。
gh0st服务端是通svchost -netsvcs启动的,所以程序要利用netsvcs 服务,服务端也就是根据netsvcs生成的,故不能说服务端生成是随机的,相对于大多数系统来讲,基本是固定的,下面看分析。
查看install.cpp里面的InstallService()方法,首先遍历HKEY_LOCAL_MACHINE/SOFTWARE/ Microsoft/Windows NT/CurrentVersion/Svchost中的服务项,查找到一个服务后,程序采取替换服务的方法,将原服务删除,然后生成对应服务项+ ex.dll的文件替换原服务,6to4服务一般排在第一位,6to4服务是一种自动构造隧道的方式,作用在于只需要一个全球惟一的IPv4地址便可使得整个站点获得IPv6 的连接,这个服务对一般人来讲,基本闲置,所以我们的程序就把6to4服务给替换掉,同时在windows/system32/目录下生成 6to4ex.dll,以后启动就是6to4ex了,如果把这个服务跳过去,就依次向下生成Ias、Iprip等服务啦,如果netsvcs项没有可以替换的服务,则程序将自己添加1个服务,名称就是由 AddsvchostService()方法产生的netsvcs_0x%d。
这样说不知道关心服务名称的明白了不?
这个不能说是技术问题,但是小技巧问题可以从这里产生,我不知道其他人的360是怎么过的,但是我觉得可以提示1下的是,如果是360默认系统安全的服务,它肯定不会报不安全,替换闲置的系统安全的服务则通过360的效果要好的多
gh0st 源码输入表函数免杀?
去免杀不错的黑客论坛吧,首选甲壳虫。我博客会不定期送出甲壳虫邀请码。我的博客 金屋^BLOG
ghost远控怎么做免杀
这个软件还是不错的,至少能值30块一个月
但人家卖三百就是谁钱多谁就拿 去喂他们这些狗吧
下面是我买了之后和客服的聊天记录,谁想买的参考下
0 14:53:35
上线了,360也没提示
但是用360杀毒快速扫描一下,就杀出来一个可疑启动项
然后禁止自启动,再重启下就不上线了
回复
饭客客服 14:54:43
金牌还是钻石
回复
0 14:55:59
钻石
回复
0 14:56:16
杀完再重启就不上线了
回复
饭客客服 14:56:47
知道了 会通知技术的
回复
0 14:58:10
谢谢了
买来还没能用过
回复
饭客客服 14:58:30
不过云你就不能用么
回复
饭客客服 14:58:39
那这么说我估计一个月你顶多能用10天
回复
0 14:59:43
不是,好不容易抓来鸡一杀没了
不是白忙活吗
回复
0 15:18:32
您这意思是钻石远控一个月有20天不过360云查杀?
回复
0 15:29:12
内网感染,无限复活什么的不能用就无所谓了
关键最基本的免杀不行的话真不好说了
我买的是一个月的免杀,不是10天的
您能给退款吗?
回复
0 16:13:59
能给个说法吗?
回复
0 16:15:22
才刚买2天,退200就行
回复
饭客客服 16:56:55
有谁会每天去云查杀啊,而且3天更新一次
回复
0 17:00:55
能退款不?
回复
饭客客服 17:02:57
没有理由不能退款
回复
0 17:03:25
谢谢
至少你没说任何情况都不能退
回复
饭客客服 17:05:14
只要理由充分,就可以退款
回复
0 17:07:51
我想买个免杀性好点的
所以才没去买金牌
其他官网上写的内网感染什么的都不说了
饭客客服 14:58:39
那这么说我估计一个月你顶多能用10天
这条就够了吧?退200就行,你也辛苦了
回复
饭客客服 17:08:20
你想买个,30天一直免杀的远控,除非去定制个人版
回复
0 17:08:58
那官网上怎么不写上一个月内保证10天免杀呢?
回复
0 18:34:47
?
回复
饭客客服 18:34:46
[自动回复]买包年钻石远控送铜牌VIP~~最新优惠
回复
0 21:55:26
?
回复
饭客客服 21:55:27
[自动回复]我去吃饭了,一会再联系。
想做免杀远控,通过修改现有的公开源码好实现吗?
你说的不错
现在免杀确实不好做了
源码免杀不错的,现在开源的远控也有,个人觉得开源的gh0st不错,你可以尝试下gh0st是C写的,看你的编程的底子了,我这还有编译免杀的教程,要的话M我。
还有鸽子1.2的开源,delphi写的,还有暗组的DRAT开源1.X的,还有其他的等等
要么你自己写一款也行,你要有技术的哦
真有GHOST免杀吗?
方法很多,。。。。如果已经中招了,而且还是免杀的,我个人意见有三种,1:等待病毒库更新到能查出为止。2:凭借个人经验手动查杀。3:用多种杀软查杀
求高人教免杀
全部都是要钱的,这里不要钱饭客网络一周年免费免杀培训之菜鸟学免杀
第一课、免杀之序第二课、我爱定位特征码第三课、PE文件讲解第四课、详解特征码修改方法第五课、实战PcShare定制版PE头移位第六课、实战PcShare定制版瑞星金山第七课、输出表免杀方法
饭客网络一周年免费免杀培训之输入表 饭客网络一周年免费免杀培训之输入表:第一课
饭客网络一周年免费免杀培训之输入表:第二课
饭客网络一周年免费免杀培训之输入表:第三课
饭客网络一周年免费免杀培训之输入表:第四课
饭客网络一周年免费免杀培训之输入表:第五课
饭客网络一周年免费免杀培训之输入表:第六课
饭客网络一周年免费免杀培训之输入表:第七课
饭客网络一周年免费免杀培训之输入表:第八课
饭客网络一周年免费免杀培训之输入表:第九课
饭客网络一周年免费免杀培训之无特征码免杀 第一课、全自动定位瑞星特征码第二课、无特征码免杀的基础第三课、多种模式实战区段加密免杀第四课、无特征码免杀汇编基础知识第五课、区段加密技术的加固和延展第六课、无特征码免杀实战金山第七课、无特征码免杀瑞星总结第八课、花指令的编写和应用组合第九课、无特征码免杀NOD32专题(一)第十课、凤凰ABC巧施妙计过360双引擎第十一课、江民全自动定位和资源段的合理加密 第十二课、江民资源段的科学加密弥补十一课的不足第十三课、移形换位免杀思路第十四课、另类异或加密第十五课、关于360杀软杀加密入口点的研究第十六课、分析别人的免杀思路据为己有第十七课、多功能花指令的使用变形记第十八课、输入表隐藏法(一)第十九课、输入表隐藏法(二)第二十课、输入表的完全泯灭第二十一课、无特征免杀综合思路形成(一)第二十二课、无特征免杀综合思路形成(二)第二十三课、无特征免杀综合思路形成(三)第二十四课、无特征码免杀总结合集(一)第二十五课、无特征码免杀总结合集(二)第二十六课、无特征码免杀终章 带你做免杀+免杀补丁第二十七课、定位小红伞教程 第二十八课、详解定位NOD32教程第二十九课、详解修改NOD32特征码第三十课、简单过360云查杀第三十一课、非完美过 7.1安全卫士 提示+云饭客网络一周年免费免杀培训之Gh0st系列源码免杀
Gh0st系列源码免杀第一课:Gh0st源码免杀基础知识
Gh0st系列源码免杀第二课:预处理+实战瑞星表面
Gh0st系列源码免杀第三课:实战360杀毒
Gh0st系列源码免杀第四课:实战金山2011云防御和普通查杀
Gh0st系列源码免杀第五课:实战过江民及其主动
Gh0st系列源码免杀第六课:Pass360安全卫士教程+工具
Gh0st系列源码免杀第七课:免杀卡巴斯基2010高启发(包括生成)
Gh0st系列源码免杀第八课:完完全全过瑞星行为防御
Gh0st系列源码免杀第九课:实战NOD32
小弟辛苦收集的,版主大哥加点分。
