[转载]木马改造教程 SMC 花指令修改特征码

信息来源:特络纳

啊~SMC(代码重定向)搞Crack的人都知道这个东东~其实也没有想写这个东西
这里主要捣鼓的不是SMC的Crack应用~而是~~昨天~在网吧里看见一个家伙用
冰河(至于什么版本我就不知道)[我现在在网吧打工~:(为了那块160G的硬盘
趁没有开学赶快打工~]他在用的时候我在后面看~刚运行的时候会出现一个
Messagebox~说你用的是冰河XXXX版本~什么的~我一看~原来是SMC加的对话框
呀~这个我很熟悉~(我就经常用)~但是后来突然一想不对呀~~SMC还可以用在
病毒特征码修改方面~~于是就发几分钟实验一下~(反正有还原精灵我不怕~嘿~
嘿~不要告诉老板哦----老板现在以为我知会开机扫地呢~)~好了说下主题吧
修改特征码～首先要了解为什么认为修改特征码就一定可以躲避杀毒软件，杀
毒软件一般都用（全部都用）特征码查毒为主体~其他扫描技术都是辅助的(江民:
我打死你·瑞星:我砍死你～金山:我捏死你，诺盾,AVP....我们踩死他～～～～
赵灵儿:HEART哥哥你不能死～[赎魂咒..]HEART:灵儿谢谢你～～逍遥:不要拉我MM
的手)继续 Say....关于这里说的东西不是真正的SMC(原理相同)就是将原先将列为
病毒特征码的程序代码转移到其他地方，然后在原来的地方加上～然后在原来的指令
偏移地址上用垃圾代码覆盖～比如NOP~16进制:90(不要说不知道哦)，在最后用jmp
跳到转移的代码位置～运行完了特征码以后再跳回来(估计杀毒软件在此文发布不久
就会有新技术了查这样修改的病毒了～但是我们可以用"花指令"插在里面)比如不要
用jmp 40321654改用jne 40321654;je 40321654(只是执行两句代码而已－不要看不懂)
看不懂也没有关系跟着小弟我作一边就会了～～其实哦～我们也可以多跳几次～甚至
可以整行的转移代码～然后全面的修改(技术好的话)好了今天的主题就是
<<初级木马改造教程----伪SMC+伪花指令+一个节修改特征码>>
开始说以前要先说说SMC和花指令的原理(这里设想读者是有一定的汇编知识和PE文件结构
知识，没有的话就找本汇编的书垫垫底)。
SMC(Self modifying Code):
代码重定向,在程序内加入自己需要的代码让程序运行的
时候执行你的代码，SMC技巧可以用在很多地方，比如在不脱壳的情况下给程序打补丁
软件自身保护等等方面。具体信息可以去www.pediy.com看看～www.luocong.com里也
有一篇东西看《浅析SMC技术》。这里说的伪SMC的意思是利用SMC的原理转移代码加了
一点伪花指令(就是垃圾代码)，没有作任何修改(我不知道要增加什么功能)。
花指令:
一种反反编译技巧(用一堆没有什么用的代码和无聊的跳转骚扰Cracker的反
汇编)具体介绍看<<矛与盾的较量（1）——花指令>>由于使用过花指令的程序，反汇编
出来的代码完全变掉了～虽然是"垃圾代码"(可以改成反调试代码:))但是Cracker的好奇
心是很强悍的,一定会追进去的(比如我这样的菜鸟就会进去－－也有花指令清除软件，但是
我想杀毒软件不会自带，AVP:我就带·`··`·`··～～·`·`HEART:.......)
一个节:
其实可以不用加的这个节的(X:节是什么东西?HEART:你不知道？就是Section[区块]呀～
－－－－这里不多说了自己查自己资料吧～)软件的内部有很多间隙:00给我们用的但是也难保
没有地方给我们放w我们要转移的代码～所以就加了节～(一般加壳的东西是没有多少空间留给我们了
，我们只能自己添加空间了～)～
好了说道这里也没有什么要交代的了 ～说说我们需要用道的工具吧～
Tools:木马一个(酱油若干，醋半勺，糖一勺等等。。x:你炒菜呀～找打～),