重點知識:如何給木馬加花加殼免殺
在商業的戰場上,競爭對手企業高層管理人員的數據往往記載著攸關企業生死的機密,為了得到這些東西,就需要用一些非常的手段。黑客K為了達到這個目的,精心挑選了免殺木馬,准備大干一場……
上期,黑客K成功地入侵了雇主對手UU公司數據服務器,得到了一些機密文檔,其中就有該公司的內部通訊錄,新的挑戰接踵而來……
黑客K浏覽著從UU公司數據服務器中下載回來的文件,挑選有價值的資料。他有些失望,畢竟這些資料是不能夠讓老板杜金滿意的,他需要拿到對老板更加有誘惑力的籌碼,只有這樣才可以拿到更多的報酬。
黑客K很需要這筆錢讓父母過上好日子,有汽車、有洋房,讓他們知道自己老呆在電腦前不是不務正業。然而在他拿到UU公司真正有價值的文件前,這一切僅僅停留在他的幻想中。
突然他發現了一份詳細的公司高管聯系方式,詳細到了每個人的家庭電話和家庭住址都有,甚至有些還標明了其家屬的聯系方式。他在電腦中細細翻看著這份名單,思索著下一步的計劃:“黑掉”名單中那個叫做李飛的高管,李飛電腦中極有可能保存著老板杜金需要的策劃書。
因為李飛的電腦在UU公司的內網中,要入侵他的電腦最好的辦法是用木馬,其他的方法難度較高。在正式入侵前,先要准備好木馬,並確保木馬能逃過李飛電腦中殺毒軟件的查殺。Tw.WinGWit.CoM
黑客K迅速整理著自己的思路,木馬運行的第一時間殺毒軟件會根據自己的病毒庫對木馬進行特征碼檢查,它會檢測木馬釋放出的每一個文件。因此免殺思路在他腦海中清晰地整理出來,首先將木馬服務端所有文件都釋放出來,然後進行免殺處理,讓殺毒軟件無法從特征庫中識別出它們,最後再將它們合並即可。
釋放“潘多拉盒子”裡的文件
經過慎重考慮和選擇,黑客K選擇了黑洞木馬,並不是因為它的名氣大,而是因為這款木馬采用SSDT恢復技術,可以順利繞過具有主動防御功能的殺毒軟件,所以他選擇了它。
小知識:SSDT是System Service Dispatch Table的簡稱,意思是系統服務調度表。這個表可以根據系統調用編號進行索引,以便定位函數的內存地址。而很多殺毒軟件就通過修改SSDT表,將自己的服務加載到系統底層中,實現對應用程序行為的分析監控。
黑洞木馬在成功入侵後會釋放出DLL和SYS文件,這時殺毒軟件就會檢測到它們,如果不進行免殺就極有可能會被發現,就真的“出師未捷身先死”了,所以黑客K要對它們進行免殺。
在免殺前先要把它們從木馬服務端程序中分離出來,而通過常規的方法是無法分離出木馬服務端程序中的DLL和SYS文件的。如果無法分離出這兩種文件,免殺就無從下手。黑客K決定用針對該版本的特制提取器將這兩個文件提取出來。
打開特制提取器軟件,在“未加殼EXE文件路徑”中選擇配置好的黑洞木馬服務端,然後在“提取SYS文件路徑”中選擇好釋放文件的文件夾。在選擇完成後,點擊“提取”按鍵,就可以成功地將SYS文件和DLL文件提取到指定的文件夾中(圖1)。
加花打造免殺木馬
在黑客K的整個計劃中,給木馬釋放的文件加花是最重要的一步。加花是黑客的行話,其實就是通過反復跳轉等匯編指令(俗稱花指令)打亂程序的原有特征,這些紛雜混亂的匯編花指令能夠讓殺毒軟件的特征庫無法判斷到底是不是病毒,這樣就能達到免殺的目的。要加花,首先就要在文件裡面加區,給添加花指令預留空間,接著找到程序入口地址,在此處添加花指令,最後再修改程序入口地址迷惑殺毒軟件。
首先,黑客K要將分離出來的SYS的驅動文件進行加殼免殺(加殼就是利用特殊的算法對文件進行壓縮,可以逃避殺毒軟件的查殺),他調出名為EncrptySYS的驅動加殼工具,依次選擇分離出的兩個SYS文件,點擊“加殼”進行驅動免殺操作(圖2)。
兩個SYS驅動分別加殼完畢後,黑客K用殺毒軟件測試了一下,能免殺!黑客K又通過特制提取器的合並功能,將加殼後的“DLL_X.SYS”文件合並到“X.DLL”文件中,再進行加花免殺,這樣雙重免殺後效果更好。
接著,黑客K決定使用加花手段讓DLL躲過殺毒軟件的查殺,在之前他要給DLL文件增加區塊,這是為了給後面需要添加的花指令留下空間,不然就添加不進去代碼。他使用區塊添加工具ZeroAdd給DLL文件增加區塊。
在ZeroAdd中選好分離出的“X.DLL”文件,在“輸入您要添加新區段的區段名”一項中隨意填寫了幾個英文字母,又在下方的“新的區段信息的大小”選項中填入了“100”,點擊“生成文件”後,就完成了全部的區塊添加(圖3)。
小提示:如果要求不高,免殺做到這裡也可以了,直接把DLL文件導入到黑洞木馬服務端中即可。
增加區塊完成後,黑客K喝了口茶,正式開始為DLL文件添加花指令。他又打開匯編工具OllyDbg,加載增加區塊後的DLL文件後,程序自動定位在“00501A32”這條匯編語句上,這是該DLL文件的程序入口點。
將滾動條拖到程序的下方全為00的區段處,任意選擇了一個地址“00501E20”,並在這個地址處點擊右鍵選擇彈出菜單中的“匯編”命令,在彈出的匯編窗口中輸入代碼(圖4)。他認真地填寫完這段代碼後,又選擇右鍵彈出菜單中的“復制到可執行文件→選擇部分”命令,在新彈出的窗口中保存這個文件即可,這樣就修改了程序的入口點。
然後,黑客K又調出編輯工具PEditor將程序入口進行修改以便迷惑殺毒軟件。通過“浏覽”按鍵選中剛剛修改的DLL文件,在讀出的文件信息中將入口點“00501A32”修改成與跳轉入口相對應的“00501E 20”,接著點擊“應用更改”按鍵就完成了DLL文件的加花修改全過程。
最後,黑客K還必須先將修改好的DLL文件導入到黑洞木馬服務端中。他打開資源管理軟件Resscope,在軟件左邊的列表中選擇dllfile裡面的getkey文件,再點擊“文件→導入資源”,將修改好的DLL文件導入到了文件中保存後,一個新的可以繞過主動防御的免殺黑洞木馬誕生了。在接下來正式入侵李飛電腦時,它將成為黑客K最重要的攻擊武器……
小提示:木馬經過免殺後,就不容易防范了。要對付它們,可以使用一些安全輔助工具,例如SSM。SSM的全稱是System Safety Monitor,即系統安全監控器。它異常強大的功能能夠監控到你系統中的每一個修改與變動,無論是什麼樣的穿牆或者免殺技術,在SSM的監控下,都會暴露出原形。
From:http://tw.wingwit.com/Article/Network/201309/133.html