灰鸽子问题

灰鸽子问题~

你没设置对，

留你QQ 我加你

已经叫你QQ

一，最经典的OD一半一半定位法

我们把整个黑色标记的区域看成是没有修改的木马代码（图一），把它从中间切平均分成两半，把其中的一半用nop 填充掉（图二），再用瑞星杀内存，如果杀掉了就说明特征代码在我们没有nop 掉的一半，没有杀到就说明我们刚刚nop的一半中含有特征代码。

图二 所演示的情况是特征代码在没有nop 掉的一半，然后我们再选择含有特征代码的一半，继续分半用nop 填了再杀（图三）（图四）。这样我们的特征代码的范围就会越来越小。

整个过程新手估计也只要1个小时左右。方法容易理解，效果好。

二，经典二CCL定位
原理其实大同，都是要找特征码,然后做免杀。因为过程很复杂..用文字很难表达，有需要的朋友可以私下找我，我那里有相关语音教程。

三，加壳，加花
现在的加壳，加花软件百花齐放，而加了一个壳或者一个花之后，都能够给鸽子的服务端免杀起到广谱免杀的效果，但总感觉没前面介绍到的两种效果好，大家自己试一下就知道了。想补充说的一点是，花和壳子最好弄的唯一一点。不然很容易被杀，大家做了之后就知道我的意思了。

我个人感觉，那些“加区段 修改入口点 加密入口点”的方法，跟这个效果类似，所以就没另外分类

四，入口点加一。

这个，是最早最早我接触到的很有效的方法了，现在好象效果没那么好了，但也算是一种方法。

因为时间的关系，本人在这里也就只说这几种方法了。
但是，我想补充的一点是，也是本贴最关键的位置：

免杀的思路很多，我这里讲的四种是最基本的。大家其实可以把多种免杀的方法结合在一起使用
大家可以简单的用排列组合算一下C44+C43+C42+C41=1+4+6+4=15
也就是说，我这里的方法可以演变出15种免杀的方法来。大家自己那里肯定还有我没说的，我不会的方法，都用在一起.....哇....免杀无限升级！

看下我的方案：我们要处理的文件一共有5个，分别

→HOOK.dll④

H_Client.exe Setup.exe → MAINDLL

① ② ③ → KEY.dll⑤

-----------------------------------------------------------------

我再来给大家讲讲我怎样分别对待这些文件：

H_Client.exe 用 木马控制端免杀器.rar ，既可以免杀，又自己指定一个密码，避免木马被他人

盗用。

HOOK.dll 和 KEY.dll 体积小 用变形Morphine2.7加壳就可以免杀，方便实用。

MAINDLL 有800多kb 要是偷懒也用 Morphine2.7 加壳免杀的话，做出来的服务端会有900多kb，

所以我用压缩效果比较好的北斗星.exe先加壳，再给它加道花指令，ok。

Setup.exe 就好办了，它的体积也不大，我们可以有很多选择，用变形Morphine2.7加壳和

用北斗星.exe先加壳，再给它加道花指令来免杀效果都是非常好的。不过昨天强哥给了我一个好壳

我就先试试效果吧，嘿嘿！~F.S.T驱动壳.exe 闪亮登场。

----------------------------------------------------------------

下面我们开始，先把 Setup.exe 里面的 3个dll都导出来。MAINDLL 导出来了，命名为1.dll

里面的2个小dll也导出来了， 分别为key.dll 和 hook.dll 。

来先把HOOK.dll 和 KEY.dll 用变形Morphine2.7加壳免杀。加壳完成，用杀毒软件

杀一下看看效果怎么样。大家注意我的杀毒软件都是正版的，而且都是最新的病毒库，嘿嘿。

先用kv 试下吧，ok 了。瑞星通过，昏 让金山k 掉了，记得昨天还不杀的。

不过也没有什么啦，我们只要再给它加道花指令就可以免杀了，卡巴也通过了。

看来是 4个 过3个，呵呵！~

好了，我们再把 2个小dll导入MAINDLL.dll，给它免杀，我用压缩效果比较好的北斗星.exe先加壳，再给它加道花指令，ok。

看看现在杀不杀，加壳以后是2杀，2不杀，有意思啊， kv 和卡巴 杀，瑞星和金山不杀。

杀毒软件真的是各有所长，各有所好。 开始给加壳后的MAINDLL.dll 加花指令。

哦，对了。我还要给大家演示万能加花指令的方法，大家更我来。这里需要一个

增加区段的工具 zeroadd.exe ，hao|sha 是我自己定义的区段名，100 是区段的大小。

好了，添加成功，我们来看一下，多了一个 hao|sha2的区段吧。等下我们就到这里写

花指令。

花指令：

VC++ 5.0

PUSH EBP

MOV EBP,ESP

PUSH -1

push 515448

PUSH 6021A8

MOV EAX,DWORD PTR FS:[0]

PUSH EAX

MOV DWORD PTR FS:[0],ESP

ADD ESP,-6C

PUSH EBX

PUSH ESI

PUSH EDI

jmp 00408C0F

00950647 入口地址

再找我们的 hao|sha2的地址，点一下m ，hao|sha2的地址是009b6000，我们就到 009B6030 写花指令吧。

009B6030 新入口地址

接下来要把 009B6030 改为新入口地址

原 000E0647 基地 00400000

现在我们要算一下，这个新入口要怎么写 没写16进

00950647 - 00400000 - 000E0647 = 470000 我们要的差

009B6030 - 00400000- 470000 = 146030 我一直是这样算的，也不知道

科学不，呵呵，反正这个没有人教。 试下看可以不 ，地址是改对了，好象

花指令没有写好，我们来检查一下我昏， 少写一个push ebp，再来。

Microsoft Visual C++ ，好了，修改成功，我来杀一下。

呵呵 过了3个，就让卡巴给杀了， 再不加几道话指令就可以免杀了，

我们不耽误时间了来弄一下，exe。先把 MAINDLL.dll 导回Setup.exe 去，再免杀。这个加3层壳

什么？你要这个病毒还是要这个病毒解决的方法？
要这个病毒的话
www.cy07.com有
要杀这个病毒我方法的话，网站上很多，我就不复制了。

哪里复制的啊

无聊,用禽兽好了,好用过灰鸽子

什么是灰鸽子？
病毒名称： Win32.Hack.Huigezi
中文名称：灰鸽子 病毒类型：木马
受影响系统 ：Win9x/ME，Win2000/NT，WinXP

立即检查你的电脑里是否有灰鸽子病毒！
[1号方案] 下载”灰鸽子”专杀工具
金山专杀工具
适用平台：WinNT/2000/XP/2003 工具大小：309KB
工具说明：可清除灰鸽子的全部变种，支持在线更新

江民专杀工具
适用平台：Win9x/ME,Win2000,Win2003，WinXP 工具大小：307 KB
工具说明：查杀灰鸽子木马病毒以及灰鸽子变种

[2号方案] 手工清除
手工杀毒需要借助工具软件：冰刃。无法根据进程列表看出哪个是病毒时，可以启动冰刃，同时打开任务管理器比较一下，冰刃里多出的进程可能就是灰鸽子病毒。进程名如果是假冒word、记事本的图标，需要重点关注。

如何防止灰鸽子袭击 最新报道
1. 及时安装系统补丁。
2. 及时升级杀毒软件，注意检查你使用的杀毒软件是否过期，盗版不能正常升级的，特别需要检查。
3. 对朋友或陌生人发送来的可疑程序不要运行，别被对方的谎言蒙骗。

灰鸽子可能会造成哪些危害？
1、盗窃帐号：轻易取走你的重要帐号
2、偷窥隐私：远程监控拍摄用户隐私
3、敲诈钱财：偷走用户机密后进行敲诈
4、发展“肉鸡”：远程控制中毒机器
5、盗取商业机密：偷走用户的重要文件
6、间断性骚扰：黑客远程干扰你的电脑
7、肆意恶搞，破坏电脑

---

船营区18916554080： 一个关于灰鸽子使用的问题 ？
白风摩罗： 首先,你灰鸽子有语音提示“自动设置用户上线成功,请等待服务端上线”. 这点可以证明的你的 花生壳或域名指向是正确的. 其次,你说“生成的服务器自己电脑上双击运行不了,而且也没有显示上线”. 不管你是内网还是外网,做没做端口映射 只要听到“自动设置用户上线成功,请等待服务端上线”,自己运行配置的客户端都应该上线. 这两点足以证明 是你的灰鸽子服务端的配置不正确,或者是你的灰鸽子根本就不好使. 不懂你可以+我

船营区18916554080： 灰鸽子的问题 - ？
白风摩罗： 杀毒软件或是防火墙的问题,他们都会妨碍鸽子上线,关上就好了~

船营区18916554080： 关于灰鸽子的若干问题 - ？
白风摩罗： 第一:你的电脑要开端口,肉鸡必须得开机,而且必须得连网. 第二:要是路由器映射的话,肯定能上线.别的方法映射,需要测试后才知道.(肉鸡能上线就成功,不能上线就失败). 第三:本机杀软(添加白名单,可以不关)防火墙(添加例外可以不关),需要关闭.路由器的防火墙不许要关闭.灰鸽子版本的问题,其实都一样.最后一个问题:无所谓!

船营区18916554080： 我的电脑中了灰鸽子 问题很严重!!!! - ？
白风摩罗： 这个我问题我前4个月吧也有这么个情况 因为EXELORER别感染了是个病毒 而瑞星就是帮他当病毒给清除了 您还能在隔离程序还原文件吗? 建议您还是尽快把电脑重新组装也有一个好方法: 您去朋友家用U盘穿一个EXPLORER的文件回来就行可 具体在C:windou/explorer.exe 希望我的回答能能帮助您!

船营区18916554080： 灰鸽子的问题？
白风摩罗： 中了鸽子的话,对电脑没什么影响,不过人家可以控制你的机,可以删除你的东西,可以格式化你的磁盘,可以给你放病毒,可以盗你的所有类型的帐号.可以看你的屏幕.可以....太多了..

船营区18916554080： 电脑中灰鸽子了怎么处理？
白风摩罗： 一、清除灰鸽子的服务 2000/XP系统: 1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定.),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项. 2、点击菜单“编辑”-》“查找”,“...

船营区18916554080： 能帮解决灰鸽子的问题吗？
白风摩罗： 呵呵,兄弟,不是这样的,你知道吗,灰鸽子算是一种木马程序,你所说的那个SERVER程序就是你配置完以后所生成的木马文件,木马文件是肯定要发送给别人的,等对方点击或者电脑上运行了这个木马文件也就是你所说的SERVER.exe文件,你的那边才会显示上线的,而你用来控制的那个灰鸽子软件只是用来连接可控制对方而已,他本身没有什么上线的功能...而你在网上看到的别人配完以后就能自动上线的,是对方在之前就以及生成过一个一样的SERVER.exe文件,然后发送给别人的,而这个用来控制的灰鸽子软件是之前已经设置好了连接所以,一打开灰鸽子这个文件就能看到有人上线的...

船营区18916554080： 病毒＂灰鸽子＂的问题此次听说这个病毒很厉害想知道一下,有如何的方 ？
白风摩罗： 如何猎杀“灰鸽子” 由于灰鸽子本身的隐蔽性很强,用Windows系统自带的工具,很难发现灰鸽子入侵.那我们如何去发现电脑中已经被植入的灰鸽子病毒呢?一般而言...

船营区18916554080： 关于远控软件“灰鸽子”问题 - ？
白风摩罗： 鸽子是自动反弹的木马,简单点就是,不用a电脑去找B电脑,B电脑会通过上线的域名和地址找到A电脑.只要你的木马免杀做的好,特别是内存,B电脑被你控制后,正常情况下不会掉线,除非你重...

船营区18916554080： 灰鸽子问题,黑阔进来看看？
白风摩罗： 那是你的电脑配置出现了问题,有时候优化了电脑会把你自己的某些服务给关闭,而灰鸽子扫135端口需要你自己的电脑开启某些服务.你去百度上检索一下,我手机打字有点麻烦,就不详细作答了,理解