如何做木马免杀
发布网友
发布时间:2022-05-03 11:54
共9个回答
懂视网
时间:2022-05-07 02:56
相信很多朋友都做过木马免杀,早期的免杀都是加壳和改特征码,现在免杀技术已经发展到花指令免杀,改壳之类的,而这些需要一定的汇编知识,但是汇编却不是一块容易啃的骨头,所以我写了这篇菜鸟版的免杀汇编教程,帮助小菜们快速入门,掌握免杀必备的汇编知
相信很多朋友都做过木马免杀,早期的免杀都是加壳和改特征码,现在免杀技术已经发展到花指令免杀,改壳之类的,而这些需要一定的汇编知识,但是汇编却不是一块容易啃的骨头,所以我写了这篇菜鸟版的免杀汇编教程,帮助小菜们快速入门,掌握免杀必备的汇编知识,改花指令,改特征码的技巧和编写自己的花指令。
一、免杀必备的汇编知识
push 压栈,栈是一种数据结构,记住四个字:先进后出。压栈就是把数据放如栈中,从栈顶放如,出栈的时候也是从栈顶取出,所以会有先进后出的特点!先进后出我们可以这样理解,例如:一个乒乓球筒,我们放入乒乓球,然后取出乒乓球,取出的都是就后放进的球。就如我们放入球的顺序是球1、2、3、4,取出的顺序是球4、3、2、1。
pop 出栈,与push相对应。
mov a,b 把b的值送给a,把它看作编程中的赋值语句就是b赋值给a,这时a的值就是b了。
nop 无作用,就是什么也没做。
retn 从堆栈取得返回地址并跳到该地址执行。
下面是一些算术运算指令:
ADD 加法
sub 减法
inc 加1
dec 减1
最后是跳转指令:
jmp 无条件跳
je 或jz 若相等则跳
jne或jnz 若不相等则跳
jb 若小于则跳
jl 若小于则跳
ja 若大于则跳
jg 若大于则跳
jle 若小于等于则跳
jge 若大于等于则跳
这些就是我们需要掌握的,怎么样不多吧,一些指令可能看不明白,看了后面的就会清楚了。对了,忘了讲寄存器了,寄存器是中央处理器内的其中组成部份。寄存器是有限存贮容量的高速存贮部件,它们可用来暂存指令、数据和位址。我们需要了解的是8个通用寄存器:EAX,EBX,ECX,EDX,ESI,EDI,EBP,ESP
二、特征码和花指令的修改
特征码我就不多说了,大家都知道的,现在杀毒软件查杀都用特征码查杀,改了木马的特征码,杀毒软件就查不出我们的木马,这样就达到免杀的效果。而花指令是程序中的无用代码,程序多它没影响,少了它也能正常运行。加花指令后,杀毒软件对木马静态反汇编使,木马的代码就不会正常显示出来,加大杀毒软件的查杀难度。花指令的原理是堆栈平衡。前面介绍push说了,堆栈平衡可以这样理解,有进有出,不管花指令怎么写,我们要达到的目的是加花后,堆栈与未加之前一样。
网上的花指令因为是公布出来的,所以免杀周期不长,一般公布出来不久就会被杀毒软件查杀,但是我们只要简简单单的修改一两句就可以达到免杀了。下面我们来看看5种修改方法。(也适用于特征码修改)
我们先看看木马彩衣(金色鱼锦衣)花指令
1、push ebp
2、mov ebp,esp
3、add esp,-0C
4、add esp,0C
5、mov eax,原入口
6、push eax
7、retn
1、2、在大部分程序开头可以经常看到。push ebp是将寄存器ebp压入堆栈,mov ebp,esp是将寄存器esp的值送给寄存器ebp。3、4、使用了add指令,add esp,-0C是寄存器esp加上-0C,add esp,0C是寄存器esp加上0C,3、4、加起来就是什么也没做,达到堆栈平衡。5、6、7、完成了跳转到入口点的功能,我们一句句来看看mov eax,原入口,将入口点送入寄存器eax,push eax将寄存器eax压入堆栈,retn我们知道是从堆栈取得返回地址并跳到该地址执行。这样就回到入口点了。
我们看看实例,以木马彩衣免杀为例,先侦壳,用peid载入,显示Microsoft Visual Basic 5.0 / 6.0,(如图1)很好,免去了脱壳的麻烦,复制木马彩衣后再粘贴,得到复件 木马彩衣.exe,我们用木马彩衣对复件 木马彩衣.exe加花,加金色鱼锦衣,(如图2)然后用Ollydbg.exe载入,我们就可以看到看到金色鱼锦衣的花指令了。(如图3)用卡巴扫描,被卡巴认出来了。(如图4)这是因为金色鱼锦衣公布比较久,用的人多了,对杀毒软件就无效了。
1、替换法
我们用替换法来修改金色鱼锦衣,修改结果如下:
1、push ebp
2、mov ebp,esp
3、add esp,1
4、add esp,-1
5、mov eax,原入口
6、push eax
7、retn
将原来3、4、句add esp,-0C和add esp,0C改成add esp,1和add esp,-1这两句也能达到堆栈平衡,(如图5)右键选中add esp,-0C,点击汇编,将add esp,-0C改成add esp,1,将add esp,0C改成add esp,-1。选中修改部分,右键单击→复制到可执行文件→选择部分,弹出窗口,右键保存文件。这里我保存成“替换法.exe”用卡巴查杀,免杀了。(如图6)
2、移位法
1、push ebp
2、mov ebp,esp
3、nop
4、nop
5、add esp,-0C
6、add esp,0C
7、mov eax,原入口
8、push eax
9、retn
将原来的3、4、5、6、7、几个语句向下移动2行,修改后保存为“移位法.exe”。
3、添加法
1、push ebp
2、mov ebp,esp
3、push edx
4、pop edx
5、add esp,-0C
6、add esp,0C
7、mov eax,原入口
8、push eax
9、retn
在金色鱼锦衣中加入push edx和pop edx,这两句是将寄存器edx压入和弹出堆栈,一样达到堆栈平衡。修改后保存成“添加法.exe”。
4、去除法
1、push ebp
2、mov ebp,esp
3、mov eax,原入口
4、push eax
5、retn
删除add esp,-0C和add esp,0C,修改后保存成“去除法.exe”。
5、跳转法
push ebp
mov ebp,esp
jmp 跳出到add esp,-0C的地址
mov eax,复件_木?0040109C
push eax
retn
add esp,-0C
add esp,0C
jmp 跳回mov eax,复件_木?0040109C的地址
这个可能比较复杂,大家看看截图(图7),修改后保存为“跳转法.exe”。
我们用卡巴试试修改后的效果,(如图8)看看,只有原来的木马彩衣,加了金色鱼锦衣的和去除法的可以查到。去除法是因为金色鱼锦衣的代码比较短,如果花指令长点,效果会比较好。几种修改方法结合使用效果更好,当然,一样可修改特征码,相对跳转法在修改特征码中使用比较多。
三、编写自己的花指令
通过上面的学习我们可以知道花指令大概结构,一般开始是push ebp和mov ebp,esp,接下来就是一些能保持堆栈平衡的指令,完了就是跳回入口点了。
我罗列出一些能保持堆栈平衡的代码
push ebp 把基址指针寄存器压入堆栈
pop ebp 把基址指针寄存器弹出堆栈
push eax 把数据寄存器压入堆栈
pop eax 把数据寄存器弹出堆栈
nop 无作用,就是什么也没做
mov eax,eax 将eax送入eax,等于什么也没做
sub eax,1
add eax,1 寄存器eax+1和寄存器eax-1,一样等于什么也没做
sub eax,2
dec eax
dec eax 一样很简单的加减运算,先是寄存器eax+2,紧接着连续用dec指令处理寄存器eax两次,就是-1再-1,达到堆栈平衡。
很简单,大家参考后可以自己写出N多这样的指令。写完这些就可以写跳转语句了。
JMP 入口点 这时最简单的跳转了,无条件跳回入口点,最简单当然效果也最差了
mov eax,入口点
push eax
retn 很眼熟吧,金色鱼锦衣的跳转,解释过,不多说了。
mov eax,入口点
jmp eax 和金色鱼锦衣的跳转的原理差不多吧,入口点压入寄存器eax,再跳到寄存器eax,就是跳到入口点了。
je 入口点
jne 入口点 等于则跳和不等于则跳,合起来就是绝对跳咯,像这样的条件跳转语句很多,大家可参考前面跳转指令的知识自己写。
上面的指令随便结合相信大家可以写出属于自己的花指令了,这样我这篇文章的目的也就达到了。花指令添加的方法大家可以参照去年第9期的主题乐园。
热心网友
时间:2022-05-07 00:04
第一部分:对国内外杀毒软件分析
在讲定位内存特征码前,先要分析国内外著名杀毒软件的内存查杀特点。大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴,金山,等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码.
第二部分:木马免杀的对策
一. 要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则下面的免杀操作就不能进行下去。
二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能内存免杀。
三.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用.
1>.入口点加1免杀法.
2>.变化入口地址免杀法
3>.加花指令法免杀法
4>.加壳或加伪装壳免杀法.
5>.打乱壳的头文件免杀法.
6>.修改文件特征码免杀法.
第三部分:免杀技术实例演示部分
一.入口点加1免杀法:
1.用到工具:PEditor
2.特点:非常简单实用,但有时还会被卡巴查杀.
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.
二.变化入口地址免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.
3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.
三.加花指令法免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.
四.加壳或加伪装壳免杀法:
1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.
2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.
3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳.
五.打乱壳的头文件或壳中加花免杀法:
1.用到工具:秘密行动 ,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.
六.修改文件特征码免杀法:
1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.
3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.
第四部分:快速定位与修改瑞星内存特征码
一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.
二.定位与修改要点:
1>.首先用特征码定位器大致定位出瑞星内存特征码位置
2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.
第五部分:免杀方案实例演示部分
1.完全免杀方案一:
内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.
2.完全免杀方案二:
内存特征码修改 + 加压缩壳 + 加壳的伪装
3.完全免杀方案三:
内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳
4.完全免杀方案四:
内存特征码修改 + 加花指令 + 加压壳
5.完全*免杀方案五:
内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件
还有其它免杀方案可任意组合.达到更好的免杀效果.
热心网友
时间:2022-05-07 01:39
最近饭客【投稿动画】送价值1000元钻石会员或人民币收购动画
热心网友
时间:2022-05-07 03:30
热心网友
时间:2022-05-07 05:38
还是
网马
还是
普通木马
热心网友
时间:2022-05-07 08:03
热心网友
时间:2022-05-07 10:44
http://www.cxzzl.com.cn/cxzzlschool/index.asp?boardid=74
热心网友
时间:2022-05-07 13:42
http://www.orsoon.com/Soft/10780.html
这些加壳软件都是以前做的。。。所以用最新的病毒库杀。。。可能还是会发现。。建议多加几个壳!!!
热心网友
时间:2022-05-07 16:57
现在最好的方法是源码免杀````源码免杀才是王道```
源码免杀网上有很多教程````我有全套的```传给你太慢了``
你自己去"败笔网络小组"论坛上去下载````百度一下败笔网络小组```
