-
-
[旧帖] [原创][原创]小弟做的木马免杀教程,求邀请码~~ 0.00雪花
-
发表于: 2010-4-8 15:56
-
【文章标题】: 菜鸟做木马免杀
【文章作者】: 青鸟kai
【作者邮箱】: kai0726@yahoo.cn
【作者主页】: http://hi.baidu.com/qnkai
【作者QQ号】: 976874716
【使用工具】: MyCCL_V2.1,OD
【操作平台】: XP
【作者声明】: 只是感兴趣,没有其他目的。
--------------------------------------------------------------------------------
【详细过程】
学了一段加密解密,发现蛮有意思的,但迟迟不如门,很郁闷。混了很久看雪,但当时我是什么都不懂,所以只能在新手区混,很是郁闷。
最近无意中在网上找到了一点关于木马免杀的教程,学了点皮毛,做个教程。
这里我演示一下特征码加花的方法来做免杀,大鸟们可以直接无视的~~
在这我只讲方法,我想只要方法会的话,基本的免杀应该不成问题了。
好了,最后说一句,kanxue老大,求邀请码~~,我不想在外围混了~~
估计很多朋友在网上都找到过类似的免杀教程,里面经常提到特征码定位,但是像我一样的菜鸟有很多都不知道特码码到底是怎么定位的吧。
这里我像大家推荐一款特征码定位的利器MyCCL,附件我会上传的,接下来我就教大家如何来使用!
先点击文件,打开所需特征码定位的木马,接下来我会发贴图上来,这样看图说话好理解~
这里我说下这样设置的原因:
首先,分块数量代表的是把这个软件按快划分,然后在其他块上填充统一的代码,比如说00,FF之类的,这里的分块数量可以自行修改,但不要太高,配置低的计算机会假死的~小弟我的机子比较烂,所以...
最后,在开始填写所需分块区段的起始位置,由于这里我不知道特征码在哪个区段里,所以我这里直接从text段开始,所以我填的是1000
哦,对了,下面的单选框要选复合定位~
好了准备工作做好了,现在点生成~
然后对生成好的文件夹查毒,查到的全都清除掉
清除掉以后点二次处理,再对文件夹查一次,定位出特征码
这是处理好后的一个特征区间,对用红圈选中部分右键选中复合定位此处特征,然后把分块数量改小一点,80-100左右即可。
这个步骤基本上重复做3次就能定位出特征码了,这里我用金山定位到的特征码地址是00016D0B,
特征码是
FF 75 EC E8 4B 4E FF FF 59 C3
好,定位特征码就到这里,你可以用不同的杀毒软件来做。呵呵,小弟为了这个特意在一个系统里装了四个杀毒软件。
(当然是在虚拟机中咯!~)
现在开始做免杀,用OD打开木马,按ctrl-G,填入特征码地址,选择RVA点OK
00416D03 . FF75 EC push dword ptr [ebp-14] ; 这里选择整个调用
00416D06 . E8 4B4EFFFF call 0040BB56
00416D0B . 59 pop ecx ; 这是特征码
00416D0C . C3 retn
然后把整段语句复制下来,做个记录,然后再用二进制复制一下,等会好偷懒~~
注意了,里面的Call调用的地址,这个很关键。
好,接下来把刚才选中那段nop掉,因为要写你的免杀指令了,其实所谓的免杀依小弟我浅显的理解就是在关键代码前加入
一些类似于废话的代码,然后让杀毒软件查不到关键的代码,来逃避查杀。呵呵,小弟文笔较差,(以前语文是体育老师教的所以表达的不太清除,往大家理解!!)
这里先找个程序空白的地方,先把原来的代码放上去吧。
这里刚才我让你们二进制复制的代码就起到作用了,可以偷懒了,直接把二进制复制的代码黏贴上去都可以了。这里黏贴好以后大家看那个call,在比照一下刚才所记录的,是不是发现call后面的地址变了。好吧,刚才记录的东西起到作用了,对照后把它改回来
然后记一下入口地址,这里是 004172A6。
接着回到刚才nop掉的地方,把免杀代码写上去
这是免杀代码
mov eax,原入口 ;这里的原入口填的就是刚才记录的那个入口 004172A6
push eax
retn
这里的代码很简单,作为菜鸟级的免杀教程,这里只是举个列子。
好了保存所有修改~~
用金山再查一下。。。。
呵呵,过了。
接着最关键的一步,能不能用,试了一下,
呵呵,能用~
好了,免杀教程到此结束,第一次写类似的教程,废话比较多~请各位不要介意!~
嗯,多美好的一天啊,可惜寝室里好多二手烟啊!~
MyCCL_V2.1.rar
--------------------------------------------------------------------------------
【经验总结】
这里我想说一下,这里面的免杀指令大家可以自己发挥,一些好的免杀指令也可以分享一下,还有大家可以多找几个现在流
行的杀软,然后在做免杀~ 然后在在木马上加个壳,让马小一点,总之,自己发挥吧!~
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2010年04月08日 15:36:56
【文章作者】: 青鸟kai
【作者邮箱】: kai0726@yahoo.cn
【作者主页】: http://hi.baidu.com/qnkai
【作者QQ号】: 976874716
【使用工具】: MyCCL_V2.1,OD
【操作平台】: XP
【作者声明】: 只是感兴趣,没有其他目的。
--------------------------------------------------------------------------------
【详细过程】
学了一段加密解密,发现蛮有意思的,但迟迟不如门,很郁闷。混了很久看雪,但当时我是什么都不懂,所以只能在新手区混,很是郁闷。
最近无意中在网上找到了一点关于木马免杀的教程,学了点皮毛,做个教程。
这里我演示一下特征码加花的方法来做免杀,大鸟们可以直接无视的~~
在这我只讲方法,我想只要方法会的话,基本的免杀应该不成问题了。
好了,最后说一句,kanxue老大,求邀请码~~,我不想在外围混了~~
估计很多朋友在网上都找到过类似的免杀教程,里面经常提到特征码定位,但是像我一样的菜鸟有很多都不知道特码码到底是怎么定位的吧。
这里我像大家推荐一款特征码定位的利器MyCCL,附件我会上传的,接下来我就教大家如何来使用!
先点击文件,打开所需特征码定位的木马,接下来我会发贴图上来,这样看图说话好理解~
这里我说下这样设置的原因:
首先,分块数量代表的是把这个软件按快划分,然后在其他块上填充统一的代码,比如说00,FF之类的,这里的分块数量可以自行修改,但不要太高,配置低的计算机会假死的~小弟我的机子比较烂,所以...
最后,在开始填写所需分块区段的起始位置,由于这里我不知道特征码在哪个区段里,所以我这里直接从text段开始,所以我填的是1000
哦,对了,下面的单选框要选复合定位~
好了准备工作做好了,现在点生成~
然后对生成好的文件夹查毒,查到的全都清除掉
清除掉以后点二次处理,再对文件夹查一次,定位出特征码
这是处理好后的一个特征区间,对用红圈选中部分右键选中复合定位此处特征,然后把分块数量改小一点,80-100左右即可。
这个步骤基本上重复做3次就能定位出特征码了,这里我用金山定位到的特征码地址是00016D0B,
特征码是
FF 75 EC E8 4B 4E FF FF 59 C3
好,定位特征码就到这里,你可以用不同的杀毒软件来做。呵呵,小弟为了这个特意在一个系统里装了四个杀毒软件。
(当然是在虚拟机中咯!~)
现在开始做免杀,用OD打开木马,按ctrl-G,填入特征码地址,选择RVA点OK
00416D03 . FF75 EC push dword ptr [ebp-14] ; 这里选择整个调用
00416D06 . E8 4B4EFFFF call 0040BB56
00416D0B . 59 pop ecx ; 这是特征码
00416D0C . C3 retn
然后把整段语句复制下来,做个记录,然后再用二进制复制一下,等会好偷懒~~
注意了,里面的Call调用的地址,这个很关键。
好,接下来把刚才选中那段nop掉,因为要写你的免杀指令了,其实所谓的免杀依小弟我浅显的理解就是在关键代码前加入
一些类似于废话的代码,然后让杀毒软件查不到关键的代码,来逃避查杀。呵呵,小弟文笔较差,(以前语文是体育老师教的所以表达的不太清除,往大家理解!!)
这里先找个程序空白的地方,先把原来的代码放上去吧。
这里刚才我让你们二进制复制的代码就起到作用了,可以偷懒了,直接把二进制复制的代码黏贴上去都可以了。这里黏贴好以后大家看那个call,在比照一下刚才所记录的,是不是发现call后面的地址变了。好吧,刚才记录的东西起到作用了,对照后把它改回来
然后记一下入口地址,这里是 004172A6。
接着回到刚才nop掉的地方,把免杀代码写上去
这是免杀代码
mov eax,原入口 ;这里的原入口填的就是刚才记录的那个入口 004172A6
push eax
retn
这里的代码很简单,作为菜鸟级的免杀教程,这里只是举个列子。
好了保存所有修改~~
用金山再查一下。。。。
呵呵,过了。
接着最关键的一步,能不能用,试了一下,
呵呵,能用~
好了,免杀教程到此结束,第一次写类似的教程,废话比较多~请各位不要介意!~
嗯,多美好的一天啊,可惜寝室里好多二手烟啊!~
MyCCL_V2.1.rar
--------------------------------------------------------------------------------
【经验总结】
这里我想说一下,这里面的免杀指令大家可以自己发挥,一些好的免杀指令也可以分享一下,还有大家可以多找几个现在流
行的杀软,然后在做免杀~ 然后在在木马上加个壳,让马小一点,总之,自己发挥吧!~
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2010年04月08日 15:36:56
