介紹下加殼、脫殼以及如何病毒免殺技術與原理

時間 2019-12-05

原文原文鏈接

介紹下加殼、脫殼以及如何病毒免殺技術與原理在天然界中，我想你們對殼這東西應該都不會陌生了，由上述故事，咱們也可見一斑。天然界中植物用它來保護種子，動物用它來保護身體等等。一樣，在一些計算機軟件裏也有一段專門負責保護軟件不被非法修改或反編譯的程序。它們通常都是先於程序運行，拿到控制權，而後完成它們保護軟件的任務。就像動植物的殼通常都是在身體外面同樣理所固然（但後來也出現了所謂的「殼中帶籽」的殼）。因爲這段程序和天然界的殼在功能上有不少相同的地方，基於命名的規則，你們就把這樣的程序稱爲「殼」了。就像計算機病毒和天然界的病毒同樣，其實都是命名上的方法罷了。從功能上抽象，軟件的殼和天然界中的殼相差無幾。無非是保護、隱蔽殼內的東西。而從技術的角度出發，殼是一段執行於原始程序前的代碼。原始程序的代碼在加殼的過程當中可能被壓縮、加密……。當加殼後的文件執行時，殼－這段代碼先於原始程序運行，他把壓縮、加密後的代碼還原成原始程序代碼，而後再把執行權交還給原始代碼。軟件的殼分爲加密殼、壓縮殼、假裝殼、多層殼等類，目的都是爲了隱藏程序真正的OEP（入口點，防止被破解）。關於「殼」以及相關軟件的發展歷史請參閱吳先生的《一切從「殼」開始》。（一）殼的概念做者編好軟件後，編譯成exe可執行文件。 1.有一些版權信息須要保護起來，不想讓別人隨便改動，如做者的姓名，即爲了保護軟件不被破解，一般都是採用加殼來進行保護。 2.須要把程序搞的小一點，從而方便使用。因而，須要用到一些軟件，它們能將exe可執行文件壓縮， 3.在黑客界給木馬等軟件加殼脫殼以躲避殺毒軟件。實現上述功能，這些軟件稱爲加殼軟件。（二）加殼軟件最多見的加殼軟件 ASPACK ，UPX，PEcompact 不經常使用的加殼軟件WWPACK32；PE-PACK ；PETITE NEOLITE （三）偵測殼和軟件所用編寫語言的軟件由於脫殼以前要查他的殼的類型。 1.偵測殼的軟件fileinfo.exe 簡稱fi.exe（偵測殼的能力極強）。 2.偵測殼和軟件所用編寫語言的軟件language.exe（兩個功能合爲一體，很棒），推薦language2000中文版（專門檢測加殼類型）。 3.軟件經常使用編寫語言Delphi，VisualBasic（VB）---最難破，VisualC（VC）。（四）脫殼軟件軟件加殼是做者寫完軟件後，爲了保護本身的代碼或維護軟件產權等利益所經常使用到的手段。目前有不少加殼工具，固然有盾，天然就有矛，只要咱們收集全經常使用脫殼工具，那就不怕他加殼了。軟件脫殼有手動脫和自動脫殼之分，下面咱們先介紹自動脫殼，由於手動脫殼須要運用匯編語言，要跟蹤斷點等，不適合初學者，但咱們在後邊將稍做介紹。加殼通常屬於軟件加密，如今愈來愈多的軟件通過壓縮處理，給漢化帶來許多不便，軟件漢化愛好者也不得不學習掌握這種技能。如今脫殼通常分手動和自動兩種，手動就是用TRW2000、TR、SOFTICE等調試工具對付，對脫殼者有必定水平要求，涉及到不少彙編語言和軟件調試方面的知識。而自動就是用專門的脫殼工具來脫，最經常使用某種壓縮軟件都有他人寫的反壓縮工具對應，有些壓縮工具自身能解壓，如UPX；有些不提供這功能，如：ASPACK，就須要UNASPACK對付，好處是簡單，缺點是版本更新了就沒用了。另外脫殼就是用專門的脫殼工具來對付，最流行的是PROCDUMP v1.62 ，可對付目前各類壓縮軟件的壓縮檔。在這裏介紹的是一些通用的方法和工具，但願對你們有幫助。咱們知道文件的加密方式，就可使用不一樣的工具、不一樣的方法進行脫殼。下面是咱們經常會碰到的加殼方式及簡單的脫殼措施，供你們參考：脫殼的基本原則就是單步跟蹤，只能往前，不能日後。脫殼的通常流程是：查殼->尋找OEP->Dump->修復找OEP的通常思路以下：先看殼是加密殼仍是壓縮殼，壓縮殼相對來講容易些，通常是沒有異常，找到對應的popad後就能到入口，跳到入口的方式通常爲。咱們知道文件被一些壓縮加殼軟件加密，下一步咱們就要分析加密軟件的名稱、版本。由於不一樣軟件甚至不一樣版本加的殼，脫殼處理的方法都不相同。經常使用脫殼工具： 1.文件分析工具（偵測殼的類型）：Fi，GetTyp，peid，pe-scan， 2.OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid 3.dump工具：IceDump，TRW，PEditor，ProcDump32，LordPE 4.PE文件編輯工具PEditor，ProcDump32，LordPE 5.重建Import Table工具：ImportREC，ReVirgin 6.ASProtect脫殼專用工具：Caspr（ASPr V1.1-V1.2有效），Rad（只對ASPr V1.1有效），loader，peid （1）Aspack：用的最多，但只要用UNASPACK或PEDUMP32脫殼就好了（2）ASProtect+aspack：次之，國外的軟件多用它加殼，脫殼時須要用到SOFTICE+ICEDUMP，須要必定的專業知識，但最新版如今暫時沒有辦法。（3）Upx：能夠用UPX自己來脫殼，但要注意版本是否一致，用-D 參數（4）Armadill：能夠用SOFTICE+ICEDUMP脫殼，比較煩（5）Dbpe：國內比較好的加密軟件，新版本暫時不能脫，但能夠破解（6）NeoLite：能夠用本身來脫殼（7）Pcguard：能夠用SOFTICE+ICEDUMP+FROGICE來脫殼（8）Pecompat：用SOFTICE配合PEDUMP32來脫殼，但不要專業知識（9）Petite：有一部分的老版本能夠用PEDUMP32直接脫殼，新版本脫殼時須要用到SOFTICE+ICEDUMP，須要必定的專業知識。（10）WWpack32：和PECOMPACT同樣其實有一部分的老版本能夠用PEDUMP32直接脫殼，不過有時候資源沒法修改，也就沒法漢化，因此最好仍是用SOFTICE配合 PEDUMP32脫殼咱們一般都會使用Procdump32這個通用脫殼軟件，它是一個強大的脫殼軟件，他能夠解開絕大部分的加密外殼，還有腳本功能可使用腳本輕鬆解開特定外殼的加密文件。另外不少時候咱們要用到exe可執行文件編輯軟件ultraedit。咱們能夠下載它的漢化註冊版本，它的註冊機可從網上搜到。ultraedit打開一箇中文軟件，若加殼，許多漢字不能被認出 ultraedit打開一箇中文軟件，若未加殼或已經脫殼，許多漢字能被認出 ultraedit可用來檢驗殼是否脫掉，之後它的用處還不少，請熟練掌握例如，可用它的替換功能替換做者的姓名爲你的姓名注意字節必須相等，兩個漢字替兩個，三個替三個，不足處在ultraedit編輯器左邊用00補。常見的殼脫法： 1.aspack殼脫殼可用unaspack或caspr 1.unaspack ，使用方法相似lanuage，傻瓜式軟件，運行後選取待脫殼的軟件便可. 缺點：只能脫aspack早些時候版本的殼，不能脫高版本的殼 2.caspr第一種：待脫殼的軟件（如aa.exe）和caspr.exe位於同一目錄下，執行windows起始菜單的運行，鍵入 caspr aa.exe脫殼後的文件爲aa.ex_，刪掉原來的aa.exe，將aa.ex_更名爲aa.exe便可。使用方法相似fi 優勢：能夠脫aspack任何版本的殼，脫殼能力極強缺點：Dos界面。第二種：將aa.exe的圖標拖到caspr.exe的圖標上***若已偵測出是aspack殼，用unaspack脫殼出錯，說明是aspack高版本的殼，用caspr脫便可。 2.upx殼脫殼可用upx待脫殼的軟件（如aa.exe）和upx.exe位於同一目錄下，執行windows起始菜單的運行，鍵入upx -d aa.exe。 3.PEcompact殼脫殼用unpecompact 使用方法相似lanuage傻瓜式軟件，運行後選取待脫殼的軟件便可。 4.procdump 萬能脫殼但不精，通常不要用使用方法：運行後，先指定殼的名稱，再選定欲脫殼軟件，肯定便可脫殼後的文件大於原文件因爲脫殼軟件很成熟，手動脫殼通常用不到。一.關於免殺的來源爲了讓咱們的木馬在各類殺毒軟件的威脅下活的更久. 二.什麼叫免殺和查殺可分爲二類: 1.文件免殺和查殺:不運行程序用殺毒軟件進行對該程序的掃描，所得結果。 2.內存的免殺和查殺:判斷的方法1>運行後,用殺毒軟件的內存查殺功能. 2>用OD載入,用殺毒軟件的內存查殺功能. 三.什麼叫特徵碼 1.含意:能識別一個程序是一個病毒的一段不大於64字節的特徵串. 2.爲了減小誤報率,通常殺毒軟件會提取多段特徵串,這時,咱們每每改一處就可達到免殺效果,固然有些殺毒軟件要同時改幾處才能免殺.(這些方法之後詳細介紹) 3.下面用一個示意圖來具體來了解一下特徵碼的具體概念四.特徵碼的定位與原理 1.特徵碼的查找方法:文件中的特徵碼被咱們填入的數據（好比0）替換了，那殺毒軟件就不會報警，以此肯定特徵碼的位置 2.特徵碼定位器的工做原理:原文件中部分字節替換爲0，而後生成新文件，再根據殺毒軟件來檢測這些文件的結果判斷特徵碼的位置五.認識特徵碼定位與修改的工具 1.CCL(特徵碼定位器) 2.OOydbg (特徵碼的修改) 3.OC用於計算從文件地址到內存地址的小工具. 4.UltaEdit-32(十六進制編輯器,用於特徵碼的手工準肯定位或修改) 六.特徵碼修改方法特徵碼修改包括文件特徵碼修改和內存特徵碼修改，由於這二種特徵碼的修改方法是通用的。因此就對目前流行的特徵碼修改方法做個總節。方法一:直接修改特徵碼的十六進制法 1.修改方法:把特徵碼所對應的十六進制改爲數字差1或差很少的十六進制. 2.適用範圍:必定要精肯定位特徵碼所對應的十六進制,修改後必定要測試一下能否正常使用. 方法二:修改字符串大小寫法 1.修改方法:把特徵碼所對應的內容是字符串的,只要把大小字互換一下就能夠了. 2.適用範圍:特徵碼所對應的內容必需是字符串,不然不能成功. 方法三:等價替換法 1.修改方法:把特徵碼所對應的彙編指令命令中替換成功能類擬的指令. 2.適用範圍:特徵碼中必需有能夠替換的彙編指令.好比JN,JNE 換成JMP等. 若是和我同樣對彙編不懂的能夠去查查8080彙編手冊.
方法四:指令順序調換法 1.修改方法:把具備特徵碼的代碼順序互換一下. 2.適用範圍:具備必定的侷限性,代碼互換後要不能影響程序的正常執行方法五:通用跳轉法 1.修改方法:把特徵碼移到零區域(指代碼的空隙處),而後一個JMP又跳回來執行. 2.適用範圍:沒有什麼條件,是通用的改法,強烈建議你們要掌握這種改法. 七.木馬免殺的綜合修改方法文件免殺方法： 1.加冷門殼 2.加花指令 3.改程序入口點 4.改木馬文件特徵碼的5種經常使用方法 5.還有其它的幾種免殺修改技巧內存免殺方法：修改內存特徵碼：方法1>直接修改特徵碼的十六進制法方法2>修改字符串大小寫法方法3>等價替換法方法4>指令順序調換法方法5>通用跳轉法木馬的免殺[學用CLL定位文件和內存特怔碼] 1.首先咱們來看下什麼叫文件特徵碼. 通常咱們能夠這樣認爲，一個木馬程序在不運行的狀況下，用殺毒軟件查殺，若報警爲病毒，說明存在該查毒軟件的文件特徵碼的。 2.特徵碼的二種定位方法. 手動定位和自動定位 3.文件特徵碼的定位技巧. 一般用手動肯定大範圍，用自動精肯定位小範圍. 下面分別用瑞星和卡巴爲例，實例演示並結合手動定位和自動定位二種方法來準肯定位文件特徵碼。要定位的對像如下載者爲例。用卡巴來定位文件特徵碼 ⑴.手動定位： 1 打開CLL 2 選擇設置中的整體參數，，，，，選中文件特徵碼手動定位，，，，以及路徑 3選中設置中的手動參數，，，，，選擇替換方式選中，，，總共生成規定個數的文件，，，生成個數爲1000 4選擇文件中的特徵碼檢測，，文件特徵碼檢測，，，打開程序（要定位特證碼的程序） 5在彈出的PE窗口中直接點肯定，以後彈出的窗口在點肯定 6而後等CLL生成完畢以後用殺毒軟件進行查殺 7在CLL中選操做，結果定位，選中剛剛用來存放檢測結果的文件夾 8在CLL中選文件免殺之加花指令法一.花指令相關知識：　實際上是一段垃圾代碼，和一些亂跳轉，但並不影響程序的正常運行。加了花指令後，使一些殺毒軟件沒法正確識別木馬程序，從而達到免殺的效果。二.加花指令使木馬免殺製做過程詳解：　　第一步：配置一個不加殼的木馬程序。　　第二步：用OD載入這個木馬程序，同時記下入口點的內存地址。　　第三步：向下拉滾動條，找到零區域（也就是能夠插入代碼的都是0的空白地方）。並記下零區域的起始內存地址。　　第四步：從這個零區域的起始地址開始一句一句的寫入咱們準備好的花指令代碼。　　第五步：花指令寫完後，在花指令的結束位置加一句：JMP　剛纔OD載入時的入口點內存地址。　　第六步：保存修改結果後，最後用PEditor這款工具打開這個改事後的木馬程序。在入口點處把原來的入口地址改爲剛纔記下的零區域的起始內存地址，並按應用更改。使更改生效。　　　　　　　　三.加花指令免殺技術總節：　1.優勢：通用性很是不錯，通常一個木馬程序加入花指令後，就能夠躲大部分的殺毒軟件，不像改特徵碼，只能躲過某一種殺毒軟件。　2.缺點：這種方法仍是不能過具備內存查殺的殺毒軟件，好比瑞星內存查殺等。　3.之後將加花指令與改入口點，加殼，改特徵碼這幾種方法結合起來混合使用效果將很是不錯。四.加花指令免殺要點：因爲黑客網站公佈的花指令過不了一段時間就會被殺軟辨認出來，因此須要你本身去搜集一些不經常使用的花指令，另外目前還有幾款軟件能夠自動幫你加花，方便一些不熟悉的朋友，例如花指令添加器等。五.常見花指令代碼windows

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
1。 VC++ 5.0
PUSH EBP               
MOV EBP,ESP             
PUSH -1               
push 515448         
PUSH 6021A8         
MOV EAX,DWORD PTR FS:[0]       
PUSH EAX               
MOV DWORD PTR FS:[0],ESP       
ADD ESP,-6C             
PUSH EBX               
PUSH ESI               
PUSH EDI   
jmp 跳轉到程序原來的入口點
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

2。c ++編輯器

push ebp
mov ebp,esp
push -1
push 111111
push 222222
mov eax,fs:[0]
push eax
mov fs:[0],esp
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 跳轉到程序原來的入口點
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

3。跳轉工具

somewhere:         
   nop          /"胡亂"跳轉的開始...
   jmp 下一個jmp的地址    /在附近隨意跳
   jmp ...        /...
   jmp 原入口的地址    /跳到原始oep
--------------------------------------------------
新入口: push ebp
   mov ebp,esp
   inc ecx
   push edx
   nop
   pop edx
   dec ecx
   pop ebp
   inc ecx
   loop somewhere    /跳轉到上面那段代碼地址去！
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

4。Microsoft Visual C++ 6.0oop

push ebp
mov ebp,esp
PUSH -1
PUSH 0
PUSH 0
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
SUB ESP,68
PUSH EBX
PUSH ESI
PUSH EDI
POP EAX
POP EAX
POP EAX
ADD ESP,68
POP EAX
MOV DWORD PTR FS:[0],EAX
POP EAX
POP EAX
POP EAX
POP EAX
MOV EBP,EAX
JMP 原入口
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

5。學習

在mov ebp,eax
後面加上
PUSH EAX 
POP EAX
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

push ebp
mov ebp,esp
add esp,-0C
add esp,0C
mov eax,403D7D
push eax
retn
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
push ebp
mov ebp,esp
push -1
push 00411222
push 00411544
mov eax,dword ptr fs:[0]
push eax
mov dword ptr fs:[0],esp
add esp,-6C
push ebx
push esi
push edi
add byte ptr ds:[eax],al
jo 入口
jno 入口
call 下一地址
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

push ebp
nop
nop
mov ebp,esp
inc ecx
nop
push edx
nop
nop
pop edx
nop
pop ebp
inc ecx
loop 任意地址
nop
nop
———————————————
nop
nop
jmp 下一個jmp的地址    /在附近隨意跳
nop
jmp 下一個jmp的地址    /在附近隨意跳
nop
jmp 下一個jmp的地址    /在附近隨意跳
jmp 入口

##文件免殺之加殼與改入口點法測試

###一.殼的相關知識： 1.殼的分類：壓縮殼和加密殼 2.殼的做用：保護和文件免殺 ##二.加殼免殺的幾個弱點 1.不能躲過像瑞星這類具備內存查殺功能的殺毒軟件。 2.通常不能躲過卡巴的查殺由於卡巴採用了一種叫虛擬機技術。首先把加了多層殼的木馬程序在虛擬機環境下運行一下，這樣木馬程序就會現出原本面目，這樣不管你加了多少層殼，在運行後程序仍是要暴露自已的。因此你們在加殼測試過程當中也會發現，能過其它的多種殺毒軟件，但卡巴始終很難過，其緣由就是卡巴的虛擬技術在做怪。 ###三.是否是如今的加殼免殺已失去意義每種免殺技術都有他的缺點和優勢，好比加殼，首先要找到比較生僻的殼,並且可能之後很快被查殺.同時也不能過內存查殺,也很難過卡巴.但它操做方便,通用性好加一個殼,可能過好幾個殺毒軟件.又好比修改特徵碼.首先操做比較煩,要定位,要修改,改好後還要測試是否能正常使用.同時針對性很是強.只能針對某一種殺毒軟件的免殺,各類殺毒軟件的特徵碼都不同,因此要躲過多種殺毒軟件查殺,就要分別定位,修改每種殺毒軟件的特徵碼.這樣是至關麻煩的.但它能夠經過修改特徵碼來躲過瑞星內存和卡巴的查殺. 因此之後免殺技術會把加殼,加花指令,改入口點,改特徵碼這幾種方法結合起來使用.對付瑞星的內存查殺,咱們能夠修改內存特徵碼,對付卡巴的虛擬機技術.咱們能夠修改卡巴的特徵碼.在加上加冷門殼,加花指令,改入口點.綜合這些方法就能夠打造金鋼不死之身! ###四.加殼免殺實例演示部分: 1.加生僻殼免殺:實例演示 2.加假裝殼免殺:實例演示 3.多重加殼免殺:（用木馬綵衣進行多重加殼） ###五.改入口點免殺法: 1.改入口點免殺原理:殺毒軟件通常都檢測病毒還原以後的代碼,並且通常都把代碼段開始的前40個字節做爲特徵值.入口點改變了,說明也就破壞了特徵碼,這樣就達到免殺的效果. 2.改入口點免殺方法一:入口地址加1法. 操做步驟: 第一步:配置一個無殼的木馬服務端. 第二步:用PEditor打開木馬程序服務端.在入口點處的地址加1.而後點應用更改就能夠了. 評論:該方法對不一樣木馬程序,有不一樣的效果,其它殺毒軟件通常均可以躲過,但有些程序改事後仍是被卡巴查殺.同時也不能過內存查殺,但之後結合加花指令,加殼等等方法,效果將很是不錯.網站

3.改入口點免殺方法二:變換入口地址法. 操做步驟: 第一步:用OD載入無殼木馬程序服務端. 第二步:把入口點的開始二句代碼(大都爲push ebp mov ebp,esp).移到零區域也是就空白區域地方.並記下零區域的內存地址.同時在後面加一句跳轉命令:JMP 到第三條指令的地址. 第三步:而後修正並保存,最後用PEditor打開該程序.把入口點改爲剛纔在零區域記下的內存地址. 評論:該方法效果比方法一要好.經測試,用方法一改事後被卡巴查出來,用方法二就查不出來. 之後能夠結合加花指令,加殼,改特徵碼,打造金鋼不死之身!加密

採用以上的方法能夠躲過很多殺毒軟件的追殺，而且方便快速，又很簡單，因此是免殺裏很是主要的手段，可是必定要檢查文件是否是可以正常運行。spa

##免殺新技術[虛擬機加密免殺]和[殼中改籽] ###一虛擬機加密免殺最新免殺技術——虛擬機加密代碼應用並不是傳統的修改特徵碼，也不是修改入口點+花指令，更不是加殼壓縮！是最新的一種免殺技術！借於這種技術你能夠變幻無窮，是免殺對新手來講更爲簡單！你們對虛擬機vmprotect是否有所瞭解，這個是最新的加密工具！能夠加密PE文件中任何一句或一段代碼天然能夠給咱們用來免殺了！免殺工具：vmprotect1.07或1.06 PEID UPX 免殺步驟：原理說明：加密區段代碼使殺毒軟件沒法識別！你能夠找特徵碼，找到後加密特徵碼的代碼！用PEID查看入口點：假如這裏的入口點是0007DB74 基址是 00400000 3.用虛擬機vmprotect打開要免殺的文件，添加地址0047DB74=00400000+0007DB74 基址+入口點 4.選代碼區域->轉存->F9保存 5.測試運行->能夠成功運行 6.用UPX壓縮一下，縮小體積，OK 免殺成功總結：虛擬機加密代碼是比較新的免殺技術，能夠和其餘免殺技術有機的集合在一塊兒，讓你的木馬變成金剛不壞.你們要多多掌握。 ###二殼中改籽技術免殺這種免殺不多有人用，因此免殺效果很是好，各大黑客網站也不多見到介紹，這裏我把別人作黑洞免殺的文章發到這裏，供你們研究.估計是浩天寫的文章先講一下爲何這種技術叫「殼中改籽」。配置一個黑洞的服務端，而後用PEiD.exe來查看它是用什麼加的殼，查到是UPX加的變態殼，程序的區段都給隱藏了，那麼先得給黑洞服務端脫殼。用 upxfix.exe打開它，而後在Decompress method裏面選擇5，點擊fix，這樣就修復了。再用PEiD.exe查一下，看如今能夠看到區段了吧。爲何我一再提到這個區段呢？其實它就是文章的重點，也就是殼裏面的籽。繼續脫殼，用UPXShell打開修復好的黑洞服務端，點擊解壓縮，完成後咱們能夠看到程序由原來的201 kb變成了506 KB ，大了一倍多。有人可能要問爲何必定要給它脫殼呢？直接修改不能夠嗎？其實主要是由於黑洞的服務端裏還有一個用作鍵盤記錄的dll文件，它也要作免殺處理。用 Resscope1.92打開黑洞的服務端，這個但是絕好的exe資源編輯器啊，先選擇dllfile裏面的getkey，而後點擊文件→導出資源，這樣dll文件就導出來了。它也是用upx加的變態殼，由於區段被加密了，因此咱們也要給它脫殼，再加殼。脫殼的過程和先前脫黑洞服務端同樣先用upxfix.exe打開它，可是這裏注意在Decompress method裏面，不要選擇5，而是選擇2修復，否則的話就脫不了殼了。接着用UPXShell解壓縮，如今dll文件的大小由原來的11 kb變成了18.5 kb，而後再用UPXShell從新給它加上殼。 ###3、修改upx殼裏面的籽把UPX加過殼的dll文件，用PEiD.exe打開查看，這裏有幾個數據須要咱們記錄，等下和修改後的文件作比較用。先分別把程序入口點：000C220、文件偏移量：00002620 ，記錄下來，而後點擊查看EP區段，在區段查看上面再點右鍵選擇cave查找器，把upx殼區段upx1的RVA：0000C3B五、偏移：000027B5等參數也記錄下來。關鍵的時刻到了，reloc.exe閃亮登場。由於reloc 是一款命令下的工具，因此爲了操做方便，我建議你們寫一個bat文件和reloc放在同一目錄。咱們開始記錄的數據如今派上用場了，編輯bat文件格式以下： reloc 待修改程序 $程序入口 $文件偏移量 $殼的區段入口 $區段偏移參數那麼對應咱們的黑洞鍵盤記錄dll文件所記錄的數據，這個bat就應該這樣寫： reloc 鍵盤記錄.dll $C220 $2620 $C3B5 $27B5 5 數據前面的零不要寫到bat裏面，另外最後面的這個參數你們注意，其實它是設置修改時的偏移量的，通常dll文件選擇5，exe文件選擇5-9之間的數，通常選擇6就行了。調試

設置完了，咱們運行這個bat文件，開始修改。完畢以後我分別用國內和國外最強的殺毒軟件江民、諾盾和卡巴斯基對鍵盤記錄.dll進行掃描，它們均未發現病毒，咱們的木馬成功躲了過去。用PEiD.exe從新打開，能夠發現PEiD已經沒法分別鍵盤記錄.dll是什麼殼了，把原來記錄的幾個數據和如今對比一下發現程序入口和文件偏移量沒有，而殼區段入口和區段偏移卻改變。飄舞的風在上一期的文章裏面說道：「peidv0.92是經過每一個程序的開頭幾十個字節來比較是那種殼。」，看來不只僅如此，peidv0.92還把殼的區段入口開頭的幾十個字節也做爲了用來判斷殼的類型的特徵代碼，殺毒軟件也是如此，這樣簡單修改一下咱們的木馬就免殺了。着把這個已經修改好的dll文件，導回到黑洞的服務端,方法和導出dll是同樣的，我就再也不講述了，而後把它用UPXShell再次加殼，加殼後的大小爲200 kb。如今能夠開始咱們的第二次免殺之旅了，一樣用PEiD.exe把程序入口、文件偏移量、殼的區段入口、區段偏移，等數據記錄下來，寫入bat文件。個人bat是這樣寫的： reloc 1.exe $88620 $30A20 $887A3 $30BA3 6 我前面已經講過了，修改exe文件的時候，參數選擇5-9之間的數，通常選擇6就行了。如今運行bat文件，黑洞服務端的免殺就所有完成了。用PEiD.exe查看，顯示的是「Nothing found」看來PEiD已經不認識它了，再用江民、諾盾和卡巴斯基查殺，均顯示無病毒，呵呵，欺騙成功。

###4、結語通過這麼簡單的修改之後效果是很是好的，相信之後這樣的免殺技術將會成爲主流技術，由於它簡單實用。分析它實現免殺的原理，不難看出換一個角度思考問題的重要性，從殼的修改轉到殼中籽的修改，不能不說這是一種創新，它使木馬的免殺之路變寬了。最後謝謝「朋友的家」提供一款這樣優秀的工具。若是你們可以把這種技術和我前面提到的另外三種結合起來使用，相信它將是無懈可擊的免殺新技術之OD一半定位法不知道是那位牛人想出來把這方法用到木馬免殺上，這個方法讓不少不會用偏移定位特怔碼的朋友也可以很容易掌握到特怔碼的位置，實在是很高明又很簡單的免殺好方法.這裏我就根據他的方法詳細介紹OD一半定位法所謂OD一半定位法很簡單，就是用OD載入須要作免殺處理的文件，用NOP填充一半的代碼而後保存，接着用殺毒軟件查毒，若是有毒就在把另一半用NOP填充，若是沒報毒就證實特怔碼就在剛剛填充的那一半，而後又對那一半進行1/2的NOP填充，這樣不斷縮小範圍，很容易就找到須要修改的代碼部分。若是是作內存免殺就把NOP填充好的文件用OD打開進行內存殺毒。怎麼樣？是否是很容易掌握的方法？不過須要注意的是新手用這個方法最好每作一步都把NOP填充的開頭和結局部分的地址用紀事本保存，省得一旦忘記又從頭來. 若是特怔碼不止一處，你就要大體定位到有特怔碼這一大段，而後把這一段的一半用NOP填充而且保存，接着打開保存的文件對另一半繼續剛剛開始的步驟，這樣很快就可以定位出幾處特證碼所在的位置. 仍是那句話，熟練就好，另外須要注意填充後查出的病毒名字有沒有改變，若是改變就證實你填充的那段存在特怔碼，這樣能夠省掉很多時間。

##文件免殺之文件特徵碼修改五大法寶 ###方法一:修改字符串大小寫法 1.修改方法:把特徵碼所對應的內容是字符串的,只要把大小字互換一下就能夠了. 2.適用範圍:特徵碼所對應的內容必需是字符串,不然不能成功. 　　 ###方法二:直接修改特徵碼的十六進制法 1.修改方法:把特徵碼所對應的十六進制改爲數字差1或差很少的十六進制. 2.適用範圍:必定要精肯定位特徵碼所對應的十六進制,修改後必定要測試一下可否正常使用. 　　　 ###方法三:指令順序調換法 1.修改方法:把具備特徵碼的代碼順序互換一下. 2.適用範圍:具備必定的侷限性,代碼互換後要不能影響程序的正常執行。　　###方法四:通用跳轉法 1.修改方法:把特徵碼移到零區域(指代碼的空隙處),而後一個JMP又跳回來執行. 2.適用範圍:沒有什麼條件,是通用的改法,強烈建議你們要掌握這種改法. 　　　　###方法五:等價替換法 1.修改方法:把特徵碼所對應的彙編指令命令中替換成功能相似的指令. 2.適用範圍:特徵碼中必需有能夠替換的彙編指令.替換後指令功能要不變好比JN,JNE 換成JMP，這裏要對彙編要比較熟悉，讀懂指令後能夠替換功能相同的指令。也能夠去查8080彙編手冊[計算機專欄裏有] ##實戰特怔碼免殺第一步：首先用內存定位法來準肯定位瑞星內存特徵碼的具體位置　第一階段：自動參數中，生成文件間隔秒數設爲4，最小替換字節數設爲100字節。（主要用於大致定位內存特徵碼）第二階段：自動參數中，生成文件間隔秒數設爲4.最小替換字節數設爲4字節。（主要用於準肯定位內存特徵碼）第二步：修改特徵碼　　　用OD打開文件，找到特怔碼所在位置，而且判斷適合用那種方法修改，若是對方法不太熟悉，而且特怔碼不止一處，那就須要你改一處就保存而且在虛擬機裏試驗可否正常運行[虛擬機但是作免殺的必備工具，強烈建議你安裝，由於你不可能就在本身的機器上運行木馬吧？在說也不可能在你機器上同時安裝N種殺軟，那你機器不慢死，更重要還能夠用來試驗別人提供的軟件有沒有木馬] 木馬免殺技術之獨門絕技

採用以上的方法能夠躲過很多殺毒軟件的追殺，而且方便快速，又很簡單，因此是免殺裏很是主要的手段，可是必定要檢查文件是否是可以正常運行。免殺新技術[虛擬機加密免殺]和[殼中改籽] 一虛擬機加密免殺最新免殺技術——虛擬機加密代碼應用並不是傳統的修改特徵碼，也不是修改入口點+花指令，更不是加殼壓縮！是最新的一種免殺技術！借於這種技術你能夠變幻無窮，是免殺對新手來講更爲簡單！你們對虛擬機vmprotect是否有所瞭解，這個是最新的加密工具！能夠加密PE文件中任何一句或一段代碼天然能夠給咱們用來免殺了！免殺工具：vmprotect1.07或1.06 PEID UPX 免殺步驟：原理說明：加密區段代碼使殺毒軟件沒法識別！你能夠找特徵碼，找到後加密特徵碼的代碼！用PEID查看入口點：假如這裏的入口點是0007DB74 基址是 00400000 3.用虛擬機vmprotect打開要免殺的文件，添加地址0047DB74=00400000+0007DB74 基址+入口點 4.選代碼區域->轉存->F9保存 5.測試運行->能夠成功運行 6.用UPX壓縮一下，縮小體積，OK 免殺成功總結：虛擬機加密代碼是比較新的免殺技術，能夠和其餘免殺技術有機的集合在一塊兒，讓你的木馬變成金剛不壞.你們要多多掌握。二殼中改籽技術免殺這種免殺不多有人用，因此免殺效果很是好，各大黑客網站也不多見到介紹，這裏我把別人作黑洞免殺的文章發到這裏，供你們研究.估計是浩天寫的文章先講一下爲何這種技術叫「殼中改籽」。配置一個黑洞的服務端，而後用PEiD.exe來查看它是用什麼加的殼，查到是UPX加的變態殼，程序的區段都給隱藏了，那麼先得給黑洞服務端脫殼。用 upxfix.exe打開它，而後在Decompress method裏面選擇5，點擊fix，這樣就修復了。再用PEiD.exe查一下，看如今能夠看到區段了吧。爲何我一再提到這個區段呢？其實它就是文章的重點，也就是殼裏面的籽。繼續脫殼，用UPXShell打開修復好的黑洞服務端，點擊解壓縮，完成後咱們能夠看到程序由原來的201 kb變成了506 KB ，大了一倍多。有人可能要問爲何必定要給它脫殼呢？直接修改不能夠嗎？其實主要是由於黑洞的服務端裏還有一個用作鍵盤記錄的dll文件，它也要作免殺處理。用 Resscope1.92打開黑洞的服務端，這個但是絕好的exe資源編輯器啊，先選擇dllfile裏面的getkey，而後點擊文件→導出資源，這樣dll文件就導出來了。它也是用upx加的變態殼，由於區段被加密了，因此咱們也要給它脫殼，再加殼。脫殼的過程和先前脫黑洞服務端同樣先用upxfix.exe打開它，可是這裏注意在Decompress method裏面，不要選擇5，而是選擇2修復，否則的話就脫不了殼了。接着用UPXShell解壓縮，如今dll文件的大小由原來的11 kb變成了18.5 kb，而後再用UPXShell從新給它加上殼。 3、修改upx殼裏面的籽把UPX加過殼的dll文件，用PEiD.exe打開查看，這裏有幾個數據須要咱們記錄，等下和修改後的文件作比較用。先分別把程序入口點：000C220、文件偏移量：00002620 ，記錄下來，而後點擊查看EP區段，在區段查看上面再點右鍵選擇cave查找器，把upx殼區段upx1的RVA：0000C3B五、偏移：000027B5等參數也記錄下來。關鍵的時刻到了，reloc.exe閃亮登場。由於reloc 是一款命令下的工具，因此爲了操做方便，我建議你們寫一個bat文件和reloc放在同一目錄。咱們開始記錄的數據如今派上用場了，編輯bat文件格式以下： reloc 待修改程序 $程序入口 $文件偏移量 $殼的區段入口 $區段偏移參數那麼對應咱們的黑洞鍵盤記錄dll文件所記錄的數據，這個bat就應該這樣寫： reloc 鍵盤記錄.dll $C220 $2620 $C3B5 $27B5 5 數據前面的零不要寫到bat裏面，另外最後面的這個參數你們注意，其實它是設置修改時的偏移量的，通常dll文件選擇5，exe文件選擇5-9之間的數，通常選擇6就行了。設置完了，咱們運行這個bat文件，開始修改。完畢以後我分別用國內和國外最強的殺毒軟件江民、諾盾和卡巴斯基對鍵盤記錄.dll進行掃描，它們均未發現病毒，咱們的木馬成功躲了過去。用PEiD.exe從新打開，能夠發現PEiD已經沒法分別鍵盤記錄.dll是什麼殼了，把原來記錄的幾個數據和如今對比一下發現程序入口和文件偏移量沒有，而殼區段入口和區段偏移卻改變。飄舞的風在上一期的文章裏面說道：「peidv0.92是經過每一個程序的開頭幾十個字節來比較是那種殼。」，看來不只僅如此，peidv0.92還把殼的區段入口開頭的幾十個字節也做爲了用來判斷殼的類型的特徵代碼，殺毒軟件也是如此，這樣簡單修改一下咱們的木馬就免殺了。着把這個已經修改好的dll文件，導回到黑洞的服務端,方法和導出dll是同樣的，我就再也不講述了，而後把它用UPXShell再次加殼，加殼後的大小爲200 kb。如今能夠開始咱們的第二次免殺之旅了，一樣用PEiD.exe把程序入口、文件偏移量、殼的區段入口、區段偏移，等數據記錄下來，寫入bat文件。個人bat是這樣寫的： reloc 1.exe $88620 $30A20 $887A3 $30BA3 6 我前面已經講過了，修改exe文件的時候，參數選擇5-9之間的數，通常選擇6就行了。如今運行bat文件，黑洞服務端的免殺就所有完成了。用PEiD.exe查看，顯示的是「Nothing found」看來PEiD已經不認識它了，再用江民、諾盾和卡巴斯基查殺，均顯示無病毒，呵呵，欺騙成功。 4、結語通過這麼簡單的修改之後效果是很是好的，相信之後這樣的免殺技術將會成爲主流技術，由於它簡單實用。分析它實現免殺的原理，不難看出換一個角度思考問題的重要性，從殼的修改轉到殼中籽的修改，不能不說這是一種創新，它使木馬的免殺之路變寬了。最後謝謝「朋友的家」提供一款這樣優秀的工具。若是你們可以把這種技術和我前面提到的另外三種結合起來使用，相信它將是無懈可擊的免殺新技術之OD一半定位法不知道是那位牛人想出來把這方法用到木馬免殺上，這個方法讓不少不會用偏移定位特怔碼的朋友也可以很容易掌握到特怔碼的位置，實在是很高明又很簡單的免殺好方法.這裏我就根據他的方法詳細介紹OD一半定位法所謂OD一半定位法很簡單，就是用OD載入須要作免殺處理的文件，用NOP填充一半的代碼而後保存，接着用殺毒軟件查毒，若是有毒就在把另一半用NOP填充，若是沒報毒就證實特怔碼就在剛剛填充的那一半，而後又對那一半進行1/2的NOP填充，這樣不斷縮小範圍，很容易就找到須要修改的代碼部分。若是是作內存免殺就把NOP填充好的文件用OD打開進行內存殺毒。怎麼樣？是否是很容易掌握的方法？不過須要注意的是新手用這個方法最好每作一步都把NOP填充的開頭和結局部分的地址用紀事本保存，省得一旦忘記又從頭來. 若是特怔碼不止一處，你就要大體定位到有特怔碼這一大段，而後把這一段的一半用NOP填充而且保存，接着打開保存的文件對另一半繼續剛剛開始的步驟，這樣很快就可以定位出幾處特證碼所在的位置. 仍是那句話，熟練就好，另外須要注意填充後查出的病毒名字有沒有改變，若是改變就證實你填充的那段存在特怔碼，這樣能夠省掉很多時間。文件免殺之文件特徵碼修改五大法寶方法一:修改字符串大小寫法 1.修改方法:把特徵碼所對應的內容是字符串的,只要把大小字互換一下就能夠了. 2.適用範圍:特徵碼所對應的內容必需是字符串,不然不能成功. 　　方法二:直接修改特徵碼的十六進制法 1.修改方法:把特徵碼所對應的十六進制改爲數字差1或差很少的十六進制. 2.適用範圍:必定要精肯定位特徵碼所對應的十六進制,修改後必定要測試一下可否正常使用. 　　　方法三:指令順序調換法 1.修改方法:把具備特徵碼的代碼順序互換一下. 2.適用範圍:具備必定的侷限性,代碼互換後要不能影響程序的正常執行。　　方法四:通用跳轉法 1.修改方法:把特徵碼移到零區域(指代碼的空隙處),而後一個JMP又跳回來執行. 2.適用範圍:沒有什麼條件,是通用的改法,強烈建議你們要掌握這種改法. 　　　　方法五:等價替換法 1.修改方法:把特徵碼所對應的彙編指令命令中替換成功能相似的指令. 2.適用範圍:特徵碼中必需有能夠替換的彙編指令.替換後指令功能要不變好比JN,JNE 換成JMP，這裏要對彙編要比較熟悉，讀懂指令後能夠替換功能相同的指令。也能夠去查8080彙編手冊[計算機專欄裏有] 實戰特怔碼免殺第一步：首先用內存定位法來準肯定位瑞星內存特徵碼的具體位置　第一階段：自動參數中，生成文件間隔秒數設爲4，最小替換字節數設爲100字節。（主要用於大致定位內存特徵碼）第二階段：自動參數中，生成文件間隔秒數設爲4.最小替換字節數設爲4字節。（主要用於準肯定位內存特徵碼）第二步：修改特徵碼　　　用OD打開文件，找到特怔碼所在位置，而且判斷適合用那種方法修改，若是對方法不太熟悉，而且特怔碼不止一處，那就須要你改一處就保存而且在虛擬機裏試驗可否正常運行[虛擬機但是作免殺的必備工具，強烈建議你安裝，由於你不可能就在本身的機器上運行木馬吧？在說也不可能在你機器上同時安裝N種殺軟，那你機器不慢死，更重要還能夠用來試驗別人提供的軟件有沒有木馬]

##木馬免殺技術之獨門絕技

絕技一：快速搞定瑞星文件查殺操做步驟：　第一步：用OD載入，來到程序的入口點。　第二步：把入口點的第一句PUSH　EBP　改爲POP　EBP　而後保存就能夠躲過瑞星的表面查殺。絕技二：快速定位與修改瑞星內存特徵碼原理：由於目前的內存查殺殺毒軟件，只有瑞星才能威脅到咱們的木馬。也就是說只要搞定瑞星的內存查殺，那咱們的木馬在內存就暢通無阻了. 但因爲技術緣由,目前瑞星的內存特徵碼在90%以上把字符串做爲病毒特徵碼, 這樣對咱們的定位和修改帶來了方便. 操做步驟: 第一步:首先用特徵碼定位器大體定位出瑞星內存特徵碼位置. 第二步:而後用UE打開,找到這個大體位置,看看,哪些方面對應的是字符串,用0替換後再用內存查殺進行查殺.直到找到內存特徵碼後,只要把字符串的大小寫互換就能達到內存免殺效果. 絕技三:如何快速躲過諾頓的查殺諾頓的查殺特色:你們有時候會發現,經過改特徵碼,加花指令,改內存特徵碼,等等,卡巴,江民,金山,瑞星都過了,但不管如何都過不了諾頓,這時候是否是感到很納悶.其實諾頓特徵碼的定義和其它殺毒軟件不同,其它殺毒軟件的特徵碼都在代碼段而只有它把特徵碼定義在PE頭文件裏面.而在頭文件裏面,通常都用字符串做爲病毒特徵碼,知道了原理,就有下面的二種方法來應付. 方法一:只要把頭文件的字符串的大小字互換一下就能夠搞定了. 方法二:有二款壓縮軟件WinUpack和北斗星,通過他們的壓縮,會把咱們的木馬程序的頭文件改的面目全非.因此把咱們的木馬作好其它的殺毒軟件的免殺後,再用這二款壓縮軟件的壓縮就能夠躲過諾頓的查殺. 絕技四:一個不太通用的免殺方法免殺方法一:把入口點第三句開始的幾行(20字節內)彙編代碼移到零區域去執行,也達到必定的免殺效果. 絕技五:用VC++加了花指令後入口點下移法操做過程:加花指令後,能夠把入口點下移好一位,這樣能夠進一步達到免殺效果. 一.木馬免殺綜合方案修改內存特徵碼--->1>入口點加1免殺法 1>加壓縮殼1>--->再加殼或多重加殼 2>變化入口地址免殺法 2>加生僻殼--->2>加殼的假裝. 3>加花指令法免殺法 3>加壓縮殼3>--->打亂殼的頭文件 4>修改文件特徵碼免殺法以上免殺方法能夠自由組合成多種不一樣的免殺方案。二.經常使用免殺方案 1.實例徹底免殺方案一：內存特徵碼修改＋加UPX殼＋祕密行動打亂殼的頭文件。所需工具：UPX加殼工具，祕密行動 2.徹底免殺方案二：內存特徵碼修改＋加花指令＋加壓縮殼 3.徹底免殺方案三：內存特徵碼修改＋加壓縮殼＋加殼的假裝或多重加殼 4.徹底免殺方案四：內存特徵碼修改＋去頭變換入口點地址＋壓縮殼 5.徹底免殺方案五：內存特徵碼修改＋修改各類殺毒軟件特徵碼＋壓縮殼 6.徹底變態免殺方案六：內存特徵碼修改＋加花指令＋去頭變換入口點＋加UPX殼＋用祕密行動打亂殼的頭文件三.解決加花指令後運行出錯問題 1.分析其緣由：咱們加花指令時，通常都找代碼段最後面的空白代碼地方也就是所謂的零區域，而後把咱們準備好的花指令填進去，而後一個跳轉跳到入口點。可是咱們木馬的體積比較大，從入口點到最後面零區域的間隔比較遠，因此從低部跳到頭部因爲間隔較遠就很是容易出錯。 3.新研究的免殺方法完美的解決了該問題：我把它取名爲：中間過渡跳轉法實例演示：中間過渡跳轉法來修改灰鴿子V1.22版或VIP2.0版。中間過渡中轉法實現原理：首先咱們在代碼段的中間位置,備份部分代碼,而後把咱們要添加的花指令寫進去,寫完後,再跳到零區域,在這個零區域填入剛纔咱們備份好的代碼.填完後又要跳回填入花指令的生面.總之一句話:把花指令填在代碼中間,被花指令覆蓋的代碼移到零區域去執行,而後又要跳回來.最後把入口點改爲花指令的首地址.這樣就算完事了. 4.該新的免殺技術優勢:之前的花指令只能填到零區域,也就是說入口點通常都比較後面,因此有時會被卡巴查殺,但有了這種新方法後,程序入口點就變的很是靈活,能夠定位在代碼段的任何位置,每定位一個新的入口點就是一種新的免殺方案.並且這種方法對付卡巴也頗有效.把入口點放到代碼段的中間,是殺毒軟件萬萬想不到的,因此免殺效果是最好的.同時他解決了因爲跳轉太遠使程序沒法運行的缺

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。