目录
- 木马特征值免杀
- 一. 木马特征值免杀
- 0x01. 灰鸽子配置生成木马
- 0x02. 使用MyCCL复合特征码定位器反复缩小目标进行定位
- 0x03. 直到定位到很小的区间
- 0x04. 用工具将文件偏移地址
0009B9C3转换成内存地址0049C5C3 - 0x05. 使用OD跳转特征值语句的执行顺序以实现免杀
- 0x06. 将修改后的文件并重新导出为新的免杀程序
- 0x07. 杀毒程序扫描通过
- 0x08.放到http服务器上
- 0x09. 编辑网页参数,利用IE浏览器漏洞实现网页挂马
- 0x0a.
Win+R输入services.msc打开服务窗口,找到Apache2.2右击属性,修改为手动开启,后并手动开启该服务 - 0x0b. Win XP访问目标网站,被远程植入木马
- 0x0c.Win 7灰鸽子客户端发现靶机上线
- 0x0d. 靶机木马程序清除步骤
- 二. 修改特征值的方法
- 一. 木马特征值免杀
木马特征值免杀
完成木马特征值免杀实验,注意生成的种子文件名需带上学号。并利用生成的免杀种子实现网页挂马,网页上必须有学号信息。最后说说有哪些有趣的修改特征值的方法。
一. 木马特征值免杀
0x01. 灰鸽子配置生成木马
0x02. 使用MyCCL复合特征码定位器反复缩小目标进行定位
0x03. 直到定位到很小的区间
0x04. 用工具将文件偏移地址0009B9C3转换成内存地址0049C5C3
0x05. 使用OD跳转特征值语句的执行顺序以实现免杀
0049C5C1 JMP 004A2788 ;跳转到一片空白区域
...
...
...
004A279D MOV EAX,DWORD PTR SS:[EBP-101C] ;执行原特征值语句
004A2788 JMP 0049C5C7 ;跳转回原地址的下一语句的地址
0x06. 将修改后的文件并重新导出为新的免杀程序
0x07. 杀毒程序扫描通过
0x08.放到http服务器上
0x09. 编辑网页参数,利用IE浏览器漏洞实现网页挂马
0x0a. Win+R输入services.msc打开服务窗口,找到Apache2.2右击属性,修改为手动开启,后并手动开启该服务
0x0b. Win XP访问目标网站,被远程植入木马
0x0c.Win 7灰鸽子客户端发现靶机上线
0x0d. 靶机木马程序清除步骤
手动删除:
- 打开XP虚拟机,启动IE浏览器,单击菜 单栏-工具-Internet选项,弹出Internet选项配置对话框,单击“删除文件”按钮,在弹出的“删除文件”对话框中,选择“删除所有脱机内容”复选框,单击“确定”按钮直到完成;
- 双击“我的电脑”,在浏览器中单击“工具”-“文件夹选项”菜单项,单击“查看”属性页,选中“显示所有文件和文件夹”,并将“隐藏收保护的操作系统文件”复选框置为不选中状态,单击“确定”按钮;
- 关闭已打开的web页面,启动“windows”任务管理器,单击“进程”属性页,在“印象名称”中选中所有“IEXPLORE.EXE”进程,单击“结束进程”按钮;
- 删除“C:\WINDOWS\Hacker.com.cn.exe”文件;
- 启动“服务”管理器,选中右侧详细列表中的“GrayPigeon_Hacker.com.cn”,单击右键,在弹出菜单选中“属性”菜单项,在弹出的对话框中,将“启动类型”改为“禁用”,单击“确定”按钮;
- 启动注册表编辑器,删除
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContronlSet\Service\GrayPigeon_Hacker.com.cn节点; - 重新启动计算机;
- 打开灰鸽子程序,查看自动上线主机,已经不存在了。
二. 修改特征值的方法
方法⼀:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的⼗六进制改成数字差1或差不多的⼗六进制.
2.适⽤范围:⼀定要精确定位特征码所对应的⼗六进制,修改后⼀定要测试⼀下能否正常使⽤.
方法⼆:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换⼀下就可以了.
2.适⽤范围:特征码所对应的内容必需是字符串,否则不能成功.
方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适⽤范围:特征码中必需有可以替换的汇编指令.⽐如JN,JNE 换成JMP等.
方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换⼀下.
2.适⽤范围:具有⼀定的局限性,代码互换后要不能影响程序的正常执⾏
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后⼀个JMP⼜跳回来执⾏.
2.适⽤范围:没有什么条件,是通⽤的改法