@@给大家发5个免杀教程--菜鸟进@@(2)
@@给大家发5个免杀教程--菜鸟进@@(2)第二课 常用免杀工具的介绍和使用
如果你还没下载到黑客工具包的话,那么就先下载这些常用工具吧
1.工具介绍
OllyDBG 汉化第三版:32位动态编辑器,修改特征码常用工具
http://www.mydown.com/soft/develop/others/26/438526.shtml
c32Asm:集反汇编、16进制工具、Hiew修改功能为一体
http://www.3800hk.com/Soft/zhly/15314.html
PEiD:用于检测常用壳类型的软件
http://www.3800hk.com/Soft/zhly/12366.html
LordPE:常用的PE编辑器,免杀中常用它修改程序入口和函数地址
http://www.3800hk.com/Soft/jmhb/10192.html
ZeroADD:添加区段的工具
http://www.3800hk.com/Soft/jmhb/15294.html
Restorator:程序资源修改器
http://www.3800hk.com/Soft/zhly/16422.html
ResScope:软件资源分析修改工具,有资源修改、导入导出资源功能http://www.3800hk.com/Soft/zhly/12694.html
FreeRes:针对资源的释放工具,免杀中常用来重建可编辑资源,达到多重加壳的目的
http://www.skycn.com/soft/6653.html
ImportREC:免杀中用于重建输入表,常用于脱壳后修复
http://www.3800hk.com/Soft/jmhb/9714.html
MyCCL:最常用的特征码定位工具,用于定位单一和复合特征码
http://www.3800hk.com/Soft/zhly/14098.html
multiCCL:cmd下定位特征的软件,特点是定位精确,但是操作不方便,定位速度稍慢
http://www.3800hk.com/Soft/zhly/18615.html
2.PE文件头移位防止反调试
一:什么是PE
PE是Protable Excutable的缩写,是指“可移植可执行”文件,是32位的windows可执行文件的标准格式
了解PE文件的结构图,运行程序是一个将程序加载到内存的一个过程。
1.DOS MZ header和DOS Stub(DOS文件头、DOS加载模块)
区别16位操作系统和32位操作系统程序运行过程,对于32位操作系统来说DOS Stub可以忽略,这点在免杀AVG的时候会用到
2.PE Header(PE文件头):一般是224个字节,十六进制E0
3.Section table(区段表、节表)
Section table是一个结构数组,里面有每一个结构对应PE文件中的一个节
4.Sections(区段、节)
Sections就是一个容器,用于存放代码或者数据,比如:.text,.data都是节,也就是我们所说的区段
区段的名称可以随便改,有时候也能起到迷惑杀软的作用
————————————————————————————————————
区段名称及其作用
节名 作用
.text .exe或.dll文件的可执行代码
.data 已经初始化的数据
.reloc 重定位表信息
.rsrc 资源
.idata 导入文件名表
.rdata 只读的初始化数据
.bss 未经初始化的数据
.tls 线程的本地存储器
.arch 最初的构建信息(Alpha Architecture information)
.CRT C运行期只读数据
.debug 调试信息
.didata 延迟输入文件名表
.edata 导出文件名表
.pdata 异常信息(Exception infomation)
.xdata 异常处理表
————————————————————————————————————
其中区段名称可以随便改名字
3.木马分析
首先分析一个木马的服务端是从什么地方生成出来的,能否对服务端的源文件进行免杀?如果不能对源文件进行免杀的话,那又该怎么样对生成出来的服务端进行免杀处理,还有生成出来的木马是否加壳?上线字串是否被杀软数据流查杀,它在木马服务端里以何种形式存在,又是否加密了?
* 木马是用什么编写的(Delphi还是VC++)
* 什么启动方式(启动目录、Run、ActiveX、新建服务、替换服务等等)
* 有哪些行为(劫持杀软、改host域名劫持、禁用安全模式、内网感染、自删除、autorun感染、exe文件感染、rar文件感染、进程守护、QQ尾巴、下载者、进程隐藏、进程插入等等)
* 文件释放(dll、sys,用工具监视文件的释放)
* 注册表修改(用工具监视注册表修改)
4.给文件添加数字签名
添加数字签名对卡巴主动还是有些效果的
数字签名的提取:
用LoadPE查看数字签名的位置,记录下数字签名的大小,然后复制出来即可
数字签名的手动添加:
先用C32打开文件,拖到末尾,然后看看末尾的物理地址是什么,记下
末尾地址:
用LodePE打开文件,来到“目录”—“安全”,添加RVA和大小就可以了
RVA就是上面记录下来的末尾地址,大小就是数字签名的大小24C8
然后把准备好的数字签名黏贴到末尾就可以了
5.给文件添加安全软件版权
添加版权对付360安全卫士、金山清理专家这些杀软的副带产品
先找一个正常程序,然后把它的版权导出来,再用Restorator导入到木马当中就可以了
6.木马捆绑技术
一般的捆绑器是被杀软查杀的,我们可以系统自带的工具来做木马的捆绑
(1)自解压捆绑:用WinRAR制作自解压文件,解压后运行我们的木马,在这里要用到几个让文件隐藏运行的vbs文件,但用这个制作的文件会被人发觉是自解压文件,所以我们得去掉右键“用WinRAR打开”项
用 C32asm 或者其它二进制编辑工具打开该exe文件,搜索十六进制526172211A07,把其中的61改成其它数值,或者改72为其它数值。我这里把61改为00。如果你改的是61的话,再搜索807A0161,把61改成之前改的值;如果你之前改的72话,那么这里再搜索807A0272,把72改成之前改的值就可以了。
但这样改后会被卡巴查杀,所以还得再改下来免杀卡巴。其实免杀卡巴很简单的,只要在自解压文件的文件末尾加些“00 00 00”就可以了,加了之后程序是能正常运行的
(2)Iexpress捆绑:随 Windows 产品一起发布的一个制作 CAB 格式压缩文件及自解压/自动安装 CAB 格式文件的工具,用这个来捆绑文件的时候,被捆绑的文件名最好不要有中文,否则可能出错
(3)其他捆绑器
一般很少用其他捆绑器,因为这些捆绑器捆绑后是会被查杀的
下载地址:
http://www.hackfans.com.cn/video/shikan/miansha/第二课+常用免杀工具的介绍和使用.rar 呵呵 慢慢看{:4_95:}
页:
[1]