通通透透制作免杀黑洞

摘要

黑洞是一个很稳定的远程控制软件,所以很受大家的欢迎。但是对于黑洞DLL和SYS资源,很难制作免杀,我们这次就借助一个工具来对其制作免杀,可以将里面的资源导出来,具体的步骤就请帮我一起来操作吧!体验一下自己如何亲手制作免杀的黑洞DLL版。

我们来分析一下黑洞的服务端共由四部分组成,两个SYS文件,一个DLL文件,一个EXE文件,其中的两个SYS文件是相同的,我们借助一个工具来提取就简单多了,避免了手工提取的麻烦。工具一共有三个,其中的EXE文件Ssy提取器界面也很简单,另外两个工具的界面也相同,只是标题不一样而已。

通通透透制作免杀黑洞 黑客技术 第1张

从文件标题上的说明我们就可以看出来它们各自是做什么用的了,一个是用来分离DLL,另一个是用来分离EXE文件中的SYS,还有一个则是用来分离DLL文件中的SYS。SYS是过卡巴的,两个SYS文件是一样的,一个夹在EXE文件中,一个夹在DLL文件中,所以我们制作其中任一个的免杀就ok了。

好了我们运行黑洞,生成DLL插入型服务端程序,对生成的这个不加壳的文件,我们使用上面的三个工具分别导出EXE中的SYS和DLL,再导出DLL中的SYS,我生成的服务端程序dd.exe导出了三个文件。

我们这次主要来免杀过卡巴!只要把文件免杀了就可以了,因为其本身是过主动防御的,DLL和SYS文件采取特征定位的方式,我们还得请出MYCLL特征码定位器,不到两分钟,很快就定位出了SYS的特征码,如下:

通通透透制作免杀黑洞 黑客技术 第2张

 

转换成内存地址为000105A2附近,使用C32ASM打开,跳到000105A2,发现下面有个POPECX指令,换成PUSH ECX指令测试一下。经过测试发现这个修改是可以的,过了主动防御,功能也正常,说明SYS生效。

下面我们来修改DLL文件,采用加壳改壳的方式,在此之前需要把SYS导回去,SS.SYS是我修改完的SYS,我们选择好路径,直接点合并就把SYS合并回去了,其实也就是替换原来的SYS。

好了,下面对合并完SYS的DLL文件进行免杀卡巴,我们使用北斗压缩一下,再使用OD打开。

通通透透制作免杀黑洞 黑客技术 第3张

我们把使用方法方框圈起来的地方改一下,这是卡巴的一个弱点,我已经多次利用了,我们只要把壳的头部改一次就过了,保证以后都不会被查杀了。到此,我们把EXE和刚才制作完免杀的SYS合并,两个SYS一样,谁免杀一次就可以了,我们最后再把EXE和刚才免杀完的DLL合并,注意顺序。现在这个DD.EXE还是被查杀的,我们再做一下它的免杀,和刚才免杀DLL的方法一样,我们先使用北斗进行压缩,注意压缩的时候在配置选项上只选择压缩。然后和修改DLL一样,保存后免杀成功,现在一个完全免杀卡巴的黑洞DLL插入版就诞生了。我们还可以借助16进制编辑工具,在我们免杀之前修改安装路径和文件名,做到真正的DIY,运行的时候卡巴没有任何提示,说明SYS文件无损,360安全卫士提示有DLL文件嵌入,说明DLL释放成功,这个解决办法是使用16进制编辑文件改掉安装文件名,黑洞默认的安装文件名早被杀毒软件盯上了。我们再修改一下安装路径,最后黑洞成功上线,免杀到此结束,大家还是赶紧自己动手去DIY一个吧!

这是个神奇的广告位这是个神奇的广告位

目前评论:1 条

  1. avatar 某人博客
    回复 2017-05-01 12:22  沙发

    教程不错,某人博客欢迎回访

发表评论