-
-
[旧帖] [原创][原创]小弟做的木马免杀教程,求邀请码~~ 0.00雪花
-
发表于: 2010-4-8 15:56 1804
-
【文章标题】: 菜鸟做木马免杀
【文章作者】: 青鸟kai
【作者邮箱】: kai0726@yahoo.cn
【作者主页】: http://hi.baidu.com/qnkai
【作者QQ号】: 976874716
【使用工具】: MyCCL_V2.1,OD
【操作平台】: XP
【作者声明】: 只是感兴趣,没有其他目的。
--------------------------------------------------------------------------------
【详细过程】
学了一段加密解密,发现蛮有意思的,但迟迟不如门,很郁闷。混了很久看雪,但当时我是什么都不懂,所以只能在新手区混,很是郁闷。
最近无意中在网上找到了一点关于木马免杀的教程,学了点皮毛,做个教程。
这里我演示一下特征码加花的方法来做免杀,大鸟们可以直接无视的~~
在这我只讲方法,我想只要方法会的话,基本的免杀应该不成问题了。
好了,最后说一句,kanxue老大,求邀请码~~,我不想在外围混了~~
估计很多朋友在网上都找到过类似的免杀教程,里面经常提到特征码定位,但是像我一样的菜鸟有很多都不知道特码码到底是怎么定位的吧。
这里我像大家推荐一款特征码定位的利器MyCCL,附件我会上传的,接下来我就教大家如何来使用!
先点击文件,打开所需特征码定位的木马,接下来我会发贴图上来,这样看图说话好理解~
这里我说下这样设置的原因:
首先,分块数量代表的是把这个软件按快划分,然后在其他块上填充统一的代码,比如说00,FF之类的,这里的分块数量可以自行修改,但不要太高,配置低的计算机会假死的~小弟我的机子比较烂,所以...
最后,在开始填写所需分块区段的起始位置,由于这里我不知道特征码在哪个区段里,所以我这里直接从text段开始,所以我填的是1000
哦,对了,下面的单选框要选复合定位~
好了准备工作做好了,现在点生成~
然后对生成好的文件夹查毒,查到的全都清除掉
清除掉以后点二次处理,再对文件夹查一次,定位出特征码
这是处理好后的一个特征区间,对用红圈选中部分右键选中复合定位此处特征,然后把分块数量改小一点,80-100左右即可。
这个步骤基本上重复做3次就能定位出特征码了,这里我用金山定位到的特征码地址是00016D0B,
特征码是
FF 75 EC E8 4B 4E FF FF 59 C3
好,定位特征码就到这里,你可以用不同的杀毒软件来做。呵呵,小弟为了这个特意在一个系统里装了四个杀毒软件。
(当然是在虚拟机中咯!~)
现在开始做免杀,用OD打开木马,按ctrl-G,填入特征码地址,选择RVA点OK
00416D03 . FF75 EC push dword ptr [ebp-14] ; 这里选择整个调用
00416D06 . E8 4B4EFFFF call 0040BB56
00416D0B . 59 pop ecx ; 这是特征码
00416D0C . C3 retn
然后把整段语句复制下来,做个记录,然后再用二进制复制一下,等会好偷懒~~
注意了,里面的Call调用的地址,这个很关键。
好,接下来把刚才选中那段nop掉,因为要写你的免杀指令了,其实所谓的免杀依小弟我浅显的理解就是在关键代码前加入
一些类似于废话的代码,然后让杀毒软件查不到关键的代码,来逃避查杀。呵呵,小弟文笔较差,(以前语文是体育老师教的所以表达的不太清除,往大家理解!!)
这里先找个程序空白的地方,先把原来的代码放上去吧。
这里刚才我让你们二进制复制的代码就起到作用了,可以偷懒了,直接把二进制复制的代码黏贴上去都可以了。这里黏贴好以后大家看那个call,在比照一下刚才所记录的,是不是发现call后面的地址变了。好吧,刚才记录的东西起到作用了,对照后把它改回来
然后记一下入口地址,这里是 004172A6。
接着回到刚才nop掉的地方,把免杀代码写上去
这是免杀代码
mov eax,原入口 ;这里的原入口填的就是刚才记录的那个入口 004172A6
push eax
retn
这里的代码很简单,作为菜鸟级的免杀教程,这里只是举个列子。
好了保存所有修改~~
用金山再查一下。。。。
呵呵,过了。
接着最关键的一步,能不能用,试了一下,
呵呵,能用~
好了,免杀教程到此结束,第一次写类似的教程,废话比较多~请各位不要介意!~
嗯,多美好的一天啊,可惜寝室里好多二手烟啊!~
MyCCL_V2.1.rar
--------------------------------------------------------------------------------
【经验总结】
这里我想说一下,这里面的免杀指令大家可以自己发挥,一些好的免杀指令也可以分享一下,还有大家可以多找几个现在流
行的杀软,然后在做免杀~ 然后在在木马上加个壳,让马小一点,总之,自己发挥吧!~
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2010年04月08日 15:36:56
【文章作者】: 青鸟kai
【作者邮箱】: kai0726@yahoo.cn
【作者主页】: http://hi.baidu.com/qnkai
【作者QQ号】: 976874716
【使用工具】: MyCCL_V2.1,OD
【操作平台】: XP
【作者声明】: 只是感兴趣,没有其他目的。
--------------------------------------------------------------------------------
【详细过程】
学了一段加密解密,发现蛮有意思的,但迟迟不如门,很郁闷。混了很久看雪,但当时我是什么都不懂,所以只能在新手区混,很是郁闷。
最近无意中在网上找到了一点关于木马免杀的教程,学了点皮毛,做个教程。
这里我演示一下特征码加花的方法来做免杀,大鸟们可以直接无视的~~
在这我只讲方法,我想只要方法会的话,基本的免杀应该不成问题了。
好了,最后说一句,kanxue老大,求邀请码~~,我不想在外围混了~~
估计很多朋友在网上都找到过类似的免杀教程,里面经常提到特征码定位,但是像我一样的菜鸟有很多都不知道特码码到底是怎么定位的吧。
这里我像大家推荐一款特征码定位的利器MyCCL,附件我会上传的,接下来我就教大家如何来使用!
先点击文件,打开所需特征码定位的木马,接下来我会发贴图上来,这样看图说话好理解~
这里我说下这样设置的原因:
首先,分块数量代表的是把这个软件按快划分,然后在其他块上填充统一的代码,比如说00,FF之类的,这里的分块数量可以自行修改,但不要太高,配置低的计算机会假死的~小弟我的机子比较烂,所以...
最后,在开始填写所需分块区段的起始位置,由于这里我不知道特征码在哪个区段里,所以我这里直接从text段开始,所以我填的是1000
哦,对了,下面的单选框要选复合定位~
好了准备工作做好了,现在点生成~
然后对生成好的文件夹查毒,查到的全都清除掉
清除掉以后点二次处理,再对文件夹查一次,定位出特征码
这是处理好后的一个特征区间,对用红圈选中部分右键选中复合定位此处特征,然后把分块数量改小一点,80-100左右即可。
这个步骤基本上重复做3次就能定位出特征码了,这里我用金山定位到的特征码地址是00016D0B,
特征码是
FF 75 EC E8 4B 4E FF FF 59 C3
好,定位特征码就到这里,你可以用不同的杀毒软件来做。呵呵,小弟为了这个特意在一个系统里装了四个杀毒软件。
(当然是在虚拟机中咯!~)
现在开始做免杀,用OD打开木马,按ctrl-G,填入特征码地址,选择RVA点OK
00416D03 . FF75 EC push dword ptr [ebp-14] ; 这里选择整个调用
00416D06 . E8 4B4EFFFF call 0040BB56
00416D0B . 59 pop ecx ; 这是特征码
00416D0C . C3 retn
然后把整段语句复制下来,做个记录,然后再用二进制复制一下,等会好偷懒~~
注意了,里面的Call调用的地址,这个很关键。
好,接下来把刚才选中那段nop掉,因为要写你的免杀指令了,其实所谓的免杀依小弟我浅显的理解就是在关键代码前加入
一些类似于废话的代码,然后让杀毒软件查不到关键的代码,来逃避查杀。呵呵,小弟文笔较差,(以前语文是体育老师教的所以表达的不太清除,往大家理解!!)
这里先找个程序空白的地方,先把原来的代码放上去吧。
这里刚才我让你们二进制复制的代码就起到作用了,可以偷懒了,直接把二进制复制的代码黏贴上去都可以了。这里黏贴好以后大家看那个call,在比照一下刚才所记录的,是不是发现call后面的地址变了。好吧,刚才记录的东西起到作用了,对照后把它改回来
然后记一下入口地址,这里是 004172A6。
接着回到刚才nop掉的地方,把免杀代码写上去
这是免杀代码
mov eax,原入口 ;这里的原入口填的就是刚才记录的那个入口 004172A6
push eax
retn
这里的代码很简单,作为菜鸟级的免杀教程,这里只是举个列子。
好了保存所有修改~~
用金山再查一下。。。。
呵呵,过了。
接着最关键的一步,能不能用,试了一下,
呵呵,能用~
好了,免杀教程到此结束,第一次写类似的教程,废话比较多~请各位不要介意!~
嗯,多美好的一天啊,可惜寝室里好多二手烟啊!~
MyCCL_V2.1.rar
--------------------------------------------------------------------------------
【经验总结】
这里我想说一下,这里面的免杀指令大家可以自己发挥,一些好的免杀指令也可以分享一下,还有大家可以多找几个现在流
行的杀软,然后在做免杀~ 然后在在木马上加个壳,让马小一点,总之,自己发挥吧!~
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2010年04月08日 15:36:56
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
赞赏
他的文章
- [求助]小弟在写计算程序的时候遇到的一个问题 3762
- [求助]关于memcahce的应用 3146
- [注意]知名编程网站JavaEye被关闭 因有违规内容 2184
- [下载]Win7下能使用的卡皇驱动 6225
- [调查]“69圣战”你参与了吗? 2945
谁下载
谁下载
kanxue
zzz3265
小龙人
jiyunyan
huibianhan
小木鱼
moonife
修啊去
耳聋
黑色刺客
天易love
ufofind
resty
消毒水
dxmzh
qilinjiang
青鸟
曹无咎
hjhjh
tokiii
zwhahui
ndayo
Bony
Crakme
zkok
李文靖
ihongyi
cnviva
青鸟kai
zlhyzl
zglzh
boykng
孤江
by败类
hxfood
ghosttjj
尚书
COtwo
枭箸
lodan
ko老三
阡陌红尘
caicaic
我爱波解
MonKeYC
nzy
夜色飘渺
西海拾贝jl
墨守
sadfghgj
谁下载
kanxue
zzz3265
小龙人
jiyunyan
huibianhan
小木鱼
moonife
修啊去
耳聋
黑色刺客
天易love
ufofind
resty
消毒水
dxmzh
qilinjiang
青鸟
曹无咎
hjhjh
tokiii
zwhahui
ndayo
Bony
Crakme
zkok
李文靖
ihongyi
cnviva
青鸟kai
zlhyzl
zglzh
boykng
孤江
by败类
hxfood
ghosttjj
尚书
COtwo
枭箸
lodan
ko老三
阡陌红尘
caicaic
我爱波解
MonKeYC
nzy
夜色飘渺
西海拾贝jl
墨守
sadfghgj
谁下载
kanxue
zzz3265
小龙人
jiyunyan
huibianhan
小木鱼
moonife
修啊去
耳聋
黑色刺客
天易love
ufofind
resty
消毒水
dxmzh
qilinjiang
青鸟
曹无咎
hjhjh
tokiii
zwhahui
ndayo
Bony
Crakme
zkok
李文靖
ihongyi
cnviva
青鸟kai
zlhyzl
zglzh
boykng
孤江
by败类
hxfood
ghosttjj
尚书
COtwo
枭箸
lodan
ko老三
阡陌红尘
caicaic
我爱波解
MonKeYC
nzy
夜色飘渺
西海拾贝jl
墨守
sadfghgj
看原图
赞赏
雪币:
留言: