文章作者:浩天
动画名称: DIY完美免杀的flux 1.0
系 列: DIY个人专版木马--系列
作 者: 浩 天 QQ:78941849
目 标: 制作 免杀 的flux 1.0 服务端
工 具: flux 1.0、ASPACK、OllyDbg 1.09C中文版、BoLer
PEiD.exe、PEditor.exe、reloc、UPXShell、特征码定位器CCL
-----------------------------------------------------------------------
修改所要达到的目的和方法:
目的 : 一、 内存免杀 二、 文件免杀
↓ _________/ \_________
↓ ↓ ↓
方法 : 修改内存特征代码 ①修改文件特征代码 ②加壳、壳变形、加花指令
------------------------------------------------------------------------
步骤:
1.内存免杀
2.upx加壳
3.upx壳变形
4.ASPACK加壳
5.加花指令
6.简单演示修改文件特征代码
------------------------------------------------------------------------
很多人想要这个动画,于是我今天做了,呵呵!我们开始吧。首先请大家注意,
瑞星的文件特征代码 和 内存特征代码是 2 套不同的代码。
先做内存免杀,再做文件免杀,这个次序不要颠倒了。
一.内存免杀
不知道大家发现没有朋友之家原来出的那款免杀的flux 过不了瑞星的内存查杀,
那么这是为什么呢? 难道过内存的真的这么难吗?
我现在告诉大家为什么难。flux1.0.exe 是 flux的服务端。看到没有货真价实吧!
用OllyDbg 打开,再用瑞星杀内存,瑞星杀不到,我的这个flux的服务端
是绝对没有加壳的。大家可以 自己测试!但是木马运行以后 瑞星是绝对可以杀的。
也就是说用 特征码定位器CCL 做内存特征代码定位 定位不出flux的服务端的特征代码。
我们来看看,大家可以 自己测试。
现在大家明白了为什么做过内存的flux 这么难了吧!不过也不是没有一点办法,用过
BoLer的都知道,它做文件免杀非常好,我们用杀毒软件杀,杀完以后找一个可以运行的
木马就是免杀的了。那么我们换个思路,先用BoLer 生成大量的flux服务端,然后一个个
运行它们,把可以运行的找出来,发现一个可以运行的,运行以后就用瑞星查一次内存,
直到找出既可以运行又可以过瑞星内存的为止。虽然烦琐但是很实用,我想暂时也没有
什么比这个更好的办法了。如果有的话请联系本人 QQ:78941849,嘿嘿!
这里很简单大家自己试,运气好30分钟就可以找出一个过瑞星内存的。
二.文件免杀
上面讲了文件免杀可以用到的2种办法:①修改文件特征代码、 ②加壳、壳变形、加花指令
当然你也可以把两种方法结合起来。
现在我们先讲:②加壳、壳变形、加花指令
我个人认为这种方法是很完美的,而且简单,应用广泛。
在测试中可以通过:瑞星、kv 、卡巴、金山、诺盾,的文件查杀。
一、加壳、壳变形、加花指令
1.upx加壳
File size Ratio Format Name
-------------------- ------ ----------- -----------
20759 -> 14103 67.93% win32/pe flux1.0.exe
2.upx壳变形
看到没有 区段的入口改变了,reloc 的具体使用请看我在黑客手册 6月发表的一篇文章,
名字是:黑洞2005免杀技术-壳中改籽篇 。
好了,我们来看看经过 壳变形 后,杀毒软件还杀不杀。看到没有就怎么简单2下,kv和
瑞星两大国内的杀毒就不杀了,但是卡巴还杀,原来我装了诺盾的时候,测试诺盾也还杀!
3.ASPACK加壳
主要是给我们加花指令提供空间。
4.加花指令
00409001 入口
0040A046 新入口
加花指令我只是简单演示了一下,你还可以多加几道,告诉你
跳转
somewhere:
nop /"胡乱"跳转的开始...
jmp 下一个jmp的地址 /在附近随意跳
jmp ... /...
jmp 原入口的地址 /跳到原始oep
--------------------------------------------------
新入口: push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
loop somewhere /跳转到上面那段代码地址去!
跳转 花指令 加在c ++ 的后面,多跳几次过卡巴是最容易的了,呵呵·
算是一个小窍门吧·
二.简单演示修改文件特征代码
瑞星和 卡巴 的特征代码我都定位过了,因为帮人修改过很多,
我现在基本可以背下来。
这一段入口处的代码就是瑞星的特征代码中的一段。
00405080 |. 57 push edi
00405081 |. E8 3B070000 call flux1_0.004057C1
00405086 |. 33C0 xor eax,eax
00405088 |. 40 inc eax
00405089 |> 5F pop edi
0040508A |. 5E pop esi
0040508B |. 5B pop ebx
0040508C |. C9 leave
0040508D \. C3 retn
0040508E f>/$ 55 push ebp
0040508F |. 8BEC mov ebp,esp
00405091 |. 83EC 44 sub esp,44
00405094 |. 56 push esi
00405095 |. FF15 381040>call dword ptr ds:[<&KERNEL32.GetC>; [GetCommandLineA
卡巴在 入口这里也有一段,特征码定位器CCL 定位的结果是0040508E 向下 200 ,
这个范围真的是太大了,呵呵· 怎么都不好改!`
那么我现在告诉你怎么简单一点。先找空白段:00405CEF ,再把入口的这段点代码
nop掉。再跳到 空白段:00405CEF,看到了吗,瑞星这样简单就不杀了。
我们把刚刚nop 掉的指令写到空白段:00405CEF,不然就木马就用不了。jmp 到00405095
这样就把 那段特征代码 整体跳走了。现在保存以后,瑞星的免杀就做完了,接着我们把卡巴
和kv 一起做了。
我刚刚的操作是加了一道c++的花指令然后跳转到入口,再把00405CFD 修改为程序的入口,
当然你在c++ 花指令的后面还可以加 跳转 的花指令,这样更保险。
现在我们用 PEiD ,显示的是无效的文件,但是可以运行的,绝吧! 哈哈
现在kv 也就过了·~~ 一个星期没有改了,kv 又把查杀的力度加到了,
呵呵。不过没关系,把跳转 指令加上就没有问题了。
我还是推荐你用:一、加壳、壳变形、加花指令 的方法来对付 杀毒软件的文件
查杀,呵呵#!
当然你也可以把两种方法结合起来 ①修改文件特征代码、 ②加壳、壳变形、加花指令。
那就更无敌了,好了,88·
