木马免杀全攻略和特征码替换大全Word格式.docx
- 文档编号:15834552
- 上传时间:2022-11-16
- 格式:DOCX
- 页数:19
- 大小:31.08KB
木马免杀全攻略和特征码替换大全Word格式.docx
《木马免杀全攻略和特征码替换大全Word格式.docx》由会员分享,可在线阅读,更多相关《木马免杀全攻略和特征码替换大全Word格式.docx(19页珍藏版)》请在冰豆网上搜索。
当特征码定义出来之后,就会被提交到另外的一个部门,然后进入病毒定义库,当用户更新后,以后杀毒软件在碰到符合要求的文件时就会将其毫不忧郁的杀掉!
也就是说,杀毒软件只认特征码,不认文件。
由此可见,病毒防御工作者寻找特征码的方式也不过如此,但这只是定义病毒文件特征码的工作,别的例如修复被感染文件等技术步骤和本文无关,在这也就不介绍了,有兴趣的朋友可以自己研究一下。
2.免杀分类
免杀的方法有很多,无奈没见哪为朋友综合系统的介绍,也苦了小菜们求学无门,只好掏银子找“师傅”,所以我就自告奋勇站出来一次,不足之处还请各位高手多多包涵……
我个人总结的免杀方法总共分两类,即主动免杀与被动免杀。
一、主动免杀
1.修改字符特征:
主动查找可能的特征码,包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作,也包括运行过程中可能出现或一定会出现的字符等文件特征。
然后找出这些字符,并将其修改。
2.修改输入表:
查找此文件的输入表函数名(APIName),并将其移位。
3.打乱文件结构:
利用跳转(JMP),打乱文件原有结构。
4.修改入口点:
将文件的入口点加1。
5.修改PE段:
将PE段移动到空白位置
二、被动免杀
1.修改特征码:
用一些工具找出特征码并针对特征码做免杀处理。
2.用Vmprotect:
使用Vmprotect加密区段。
3.文件加壳:
可以用一些比较生僻的壳对木马文件进行保护。
有的朋友看到这里有可能蒙了,PE、Vmprotect、入口点……这些都是什么意思啊?
不要着急,下面我会一一介绍的,只要你看完这篇文章,就一定会成为免杀高手!
怎么样?
Go!
3.实战演习
1.)修改字符特征
好,下面我们依然以一个病毒防御工作者的角度来考虑我们每一步应该做什么,然后在利用逆向思维分而治之。
现在假如我们拿到一个木马样本灰鸽子,首先当然要分析它究竟有什么功能,怎样运行以及怎样保护自己等。
其实这一步要求的专业知识是很多的,但考虑到我们的读者,我们暂且用一个比较简单易行的方法——运行木马AND查看此程序的帮助文档。
我们打开RegSnap,新建一个快照,打开RegSnap后,点击[新建快照]按钮(如图1),在弹出的对话框中选择[生成所有项目的快照](如图2)。
然后保存快照,现在已经将RegSnap配置好了,下面运行我们的木马程序(提醒:
做免杀时,一定要记住养好随时备分的好习惯,以防止修改错误或是实验运行时破坏、删除木马)。
木马运行完毕后,我们在按照上面的方法重新做一个快照并保存,然后按快捷键F5,在弹出的“比较快照”对话框中选择刚才保存的快照,在“第一个快照”中选择我们刚才第一次保存的快照,而“第二个快照”选择我们后保存的快照存档,很快结果就出来了(如图3)。
有的朋友对于使用RegSnap收集到的信息感到无力分析,抱怨收集到的东西太多,在这里我简单的介绍一下,首先应注意的是生成做对比的两个快照之间的时间要尽可能短,另外要排除带有OpenSaveMRU的注册表键值,还要排除有关*.rsnp文件的创建读写等操作记录。
下面我们就将有用的信息提取出来,逐一分析。
文件列表于C:
\WINDOWS\*.*
新增文件
木马.exe
注册表报告
新增主键
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:
\DocumentsandSettings\A1Pass-admin\桌面\huigezi\复件Server02.exe
键值:
字符串:
"
复件Server02"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Class
LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\ClassGUID
{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Control\ActiveService
木马服务"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\木马服务\Description
灰鸽子服务端程序。
远程监控管理."
……
这里我只摘录了部分关键性的木马动作记录,全部记录请见光盘。
通过文件列表我们可以知道木马在WINDOW目录下生成了一个新文件,而通过注册表的监控信息我们也知道了木马是怎样将自己注册为系统服务并自动运行的。
那么我们回到瑞星的研究分析室,看看那些大哥大姐们会怎么办……
瑞星大哥:
“最近这灰鸽子太猖狂啦!
我们是不是应该多定义几套特征码?
”
瑞星大姐:
“恩,不错!
先在注册表那定义一套特征码在说吧。
A1Pass:
“STOP!
!
”(只见画面突然定格,A1Pass将播放器最小化。
)
通过上面的对话,我们可以知道他们要将注册表的某个字符定义为特征码,从上面RegSnap分析出来的记录来看,他们的选择真的是太多了!
那么他们究竟会用到哪些呢?
其实,就做为一个黑客来讲,只要不影响服务端正常运行,就应该尽量多的改掉木马的所有字符,当然全部改变是不可能的,除非你自己编写木马。
有的朋友要问了,除了注册表别的就不可以改了吗?
答案当然是否定的,譬如生成新文件的名称与路径、注入的进程名等动作,这些我们可以利用WINDOWS对字母大小写不敏感的这一特点直接替换字母的大小写,而对于运行过程中可能出现或一定会出现的字符等我们可以直接将其替换成别的内容。
下面我为大家演示一下怎样更改注入进程的名称。
首先配置服务端,通过图4我们可以看出来灰鸽子的启动运行是需要“IEXPLORE.EXE”这个进程的,根据注册表的推理,我们可以认为其未加壳的服务端是应该存在“IEXPLORE.EXE”这一字符串的。
既然如此,我们就先请出我们的第一把武器“WinHex”!
WinHex是一款极为出名16进制编辑器。
得到ZDNetSoftwareLibrary五星级最高评价,拥有强大的系统效用。
在这里,我们只用它来编辑文件,其余不做过多讨论。
首先我们用WinHex打开我们的木马文件“Server.exe”,打开后如图5所示。
然后我们按[Ctrl]+[F]快捷键调出查找文本对话框,输入IEXPLORE.EXE后点击“是”(如图6)。
结果如图7所示。
下面我们就对其进行大小写转换,用鼠标点击要更改的字母(例如I),然后在按键盘上的i,即可完成更改,就象使用WINDOWS的记事本一样。
更改完毕后,按[Ctrl]+[S]快捷键保存即可。
就这么简单?
对!
就这么简单!
其他的例如注册表、生成新文件的名称与路径等等都可以利用此方法更改。
但是不幸的是,经过这样改后,还不足以对付例如金山、江民等品牌杀毒软件,要想对付这些杀毒软件的查杀,我们还需要对我们的木马进行进一步处理。
下面,我们开始学习输入表函数(APIName)免杀!
2.)修改输入表
不知有的朋友是否知道,PE文件的正常运行是离不开其内部输入表函数的,而不同的程序,其内部输入表函数的名称与在文件中的位置是不一样的,所以输入表函数也成了病毒防御工作者制作特征码紧盯的地方之一。
在我查出来的关于灰鸽子的特征码来看,“瑞星大哥”已经将其的一处输入表函数作为特征码了。
所以掌握输入表函数免杀技巧对于新入门的朋友来说势在必行!
[PE文件小知识:
PE文件是WINDOWS系统中特有的一种文件结构,它包括PE文件头、输入表与相关资源文件等等]
经过我的测试,直接单独修改文件内部的输入表函数会导致程序运行不正常甚至崩溃!
那就没有办法了吗?
我可没那么容易认输!
经过一翻苦战,终于让我在LordPE中找到了解决办法,同时FoBnN的文章也给了我非常大的启发……
我们先打开LordPE,点击[PE编辑器]按钮,在弹出的对话框中选中木马文件,打开后点击[目录](如图8),再点击导入表后面的[…](如图9)。
在弹出的对话框中我们选择wininet.dll下的InternetOpenUrlA(如图10),有的朋友要问了,为什么非选择InternetOpenUrlA这个输入表函数呢?
呵呵!
那是因为这个输入表里有特征码哦,关于怎样确定特征码,我在后面会介绍,大家先别着急。
好的,关于LordPE就先停在这,下面我们就用WinHex来查找InternetOpenUrlA这个输入表函数的所在位置,并将其用0填充(操作方法:
单击WinHex右面的16进制信息,输入0即可)(如图11、12)。
然后将其写到空白区域(既显示000000的区域),一定要从头开始写入,这样在以后计算地址时不容易出错,除此之外也要注意输入表函数的大小写不要搞错(如图13)。
保存后我们在回到LordPE那里,在需要更改的InternetOpenUrlA输入表函数上单击右键,在弹出的菜单里选择“编辑”,将Thunk里的信息改成000B9D5E(如图14)即可。
有的朋友要问了,刚才我们不是把那个输入表函数放到000B9D60那里了吗?
到这怎么变成000B9D5E了?
其实原理很简单,因为每个输入表函数前面都是有一个空格的,我们虽不用真正把那个空格加进去,但填写它的地址时一定要空出来,否则就会出错!
而将000B9D60减去一个空格所占的位置,其地址正好为000B9D5E,还不十分明白的朋友在仔细看看图13,下面我们在回到LordPE,看看我们改过的输入表函数变成什么样了(如图15)?
那我们该怎么办呢?
其实简单的很,只要在重新改一下输入表函数的名称就可以了(如图16)。
有的时候因为我们所填写的地址为比较靠后的,例如我们现在改的这个000B9D5E,后面仅能容纳两个字节,所以更改输入表函数时只能键入两个字,对于这种情况我们可以先把Thunk里的信息改成如000B9D60这样的起始地址,改输入表函数名更改完毕后在将000B9D60改回原来的值(既000B9D5E),保存后即可成功,我们试一下看看(如图17)。
经测验鸽子的各项功能均正常!
在用瑞星查一下试试(
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 木马 免杀全 攻略 特征 替换 大全