重点知识:如何给木马加花加壳免杀
在商业的战场上,竞争对手企业高层管理人员的数据往往记载着攸关企业生死的机密,为了得到这些东西,就需要用一些非常的手段。黑客K为了达到这个目的,精心挑选了免杀木马,准备大干一场……
上期,黑客K成功地入侵了雇主对手UU公司数据服务器,得到了一些机密文档,其中就有该公司的内部通讯录,新的挑战接踵而来……
黑客K浏览着从UU公司数据服务器中下载回来的文件,挑选有价值的资料。他有些失望,毕竟这些资料是不能够让老板杜金满意的,他需要拿到对老板更加有诱惑力的筹码,只有这样才可以拿到更多的报酬。
黑客K很需要这笔钱让父母过上好日子,有汽车、有洋房,让他们知道自己老呆在电脑前不是不务正业。然而在他拿到UU公司真正有价值的文件前,这一切仅仅停留在他的幻想中。
突然他发现了一份详细的公司高管联系方式,详细到了每个人的家庭电话和家庭住址都有,甚至有些还标明了其家属的联系方式。他在电脑中细细翻看着这份名单,思索着下一步的计划:“黑掉”名单中那个叫做李飞的高管,李飞电脑中极有可能保存着老板杜金需要的策划书。
因为李飞的电脑在UU公司的内网中,要入侵他的电脑最好的办法是用木马,其他的方法难度较高。在正式入侵前,先要准备好木马,并确保木马能逃过李飞电脑中杀毒软件的查杀。tw.winGwit.COm
黑客K迅速整理着自己的思路,木马运行的第一时间杀毒软件会根据自己的病毒库对木马进行特征码检查,它会检测木马释放出的每一个文件。因此免杀思路在他脑海中清晰地整理出来,首先将木马服务端所有文件都释放出来,然后进行免杀处理,让杀毒软件无法从特征库中识别出它们,最后再将它们合并即可。
释放“潘多拉盒子”里的文件
经过慎重考虑和选择,黑客K选择了黑洞木马,并不是因为它的名气大,而是因为这款木马采用SSDT恢复技术,可以顺利绕过具有主动防御功能的杀毒软件,所以他选择了它。
小知识:SSDT是System Service Dispatch Table的简称,意思是系统服务调度表。这个表可以根据系统调用编号进行索引,以便定位函数的内存地址。而很多杀毒软件就通过修改SSDT表,将自己的服务加载到系统底层中,实现对应用程序行为的分析监控。
黑洞木马在成功入侵后会释放出DLL和SYS文件,这时杀毒软件就会检测到它们,如果不进行免杀就极有可能会被发现,就真的“出师未捷身先死”了,所以黑客K要对它们进行免杀。
在免杀前先要把它们从木马服务端程序中分离出来,而通过常规的方法是无法分离出木马服务端程序中的DLL和SYS文件的。如果无法分离出这两种文件,免杀就无从下手。黑客K决定用针对该版本的特制提取器将这两个文件提取出来。
打开特制提取器软件,在“未加壳EXE文件路径”中选择配置好的黑洞木马服务端,然后在“提取SYS文件路径”中选择好释放文件的文件夹。在选择完成后,点击“提取”按键,就可以成功地将SYS文件和DLL文件提取到指定的文件夹中(图1)。
加花打造免杀木马
在黑客K的整个计划中,给木马释放的文件加花是最重要的一步。加花是黑客的行话,其实就是通过反复跳转等汇编指令(俗称花指令)打乱程序的原有特征,这些纷杂混乱的汇编花指令能够让杀毒软件的特征库无法判断到底是不是病毒,这样就能达到免杀的目的。要加花,首先就要在文件里面加区,给添加花指令预留空间,接着找到程序入口地址,在此处添加花指令,最后再修改程序入口地址迷惑杀毒软件。
首先,黑客K要将分离出来的SYS的驱动文件进行加壳免杀(加壳就是利用特殊的算法对文件进行压缩,可以逃避杀毒软件的查杀),他调出名为EncrptySYS的驱动加壳工具,依次选择分离出的两个SYS文件,点击“加壳”进行驱动免杀操作(图2)。
两个SYS驱动分别加壳完毕后,黑客K用杀毒软件测试了一下,能免杀!黑客K又通过特制提取器的合并功能,将加壳后的“DLL_X.SYS”文件合并到“X.DLL”文件中,再进行加花免杀,这样双重免杀后效果更好。
接着,黑客K决定使用加花手段让DLL躲过杀毒软件的查杀,在之前他要给DLL文件增加区块,这是为了给后面需要添加的花指令留下空间,不然就添加不进去代码。他使用区块添加工具ZeroAdd给DLL文件增加区块。
在ZeroAdd中选好分离出的“X.DLL”文件,在“输入您要添加新区段的区段名”一项中随意填写了几个英文字母,又在下方的“新的区段信息的大小”选项中填入了“100”,点击“生成文件”后,就完成了全部的区块添加(图3)。
小提示:如果要求不高,免杀做到这里也可以了,直接把DLL文件导入到黑洞木马服务端中即可。
增加区块完成后,黑客K喝了口茶,正式开始为DLL文件添加花指令。他又打开汇编工具OllyDbg,加载增加区块后的DLL文件后,程序自动定位在“00501A32”这条汇编语句上,这是该DLL文件的程序入口点。
将滚动条拖到程序的下方全为00的区段处,任意选择了一个地址“00501E20”,并在这个地址处点击右键选择弹出菜单中的“汇编”命令,在弹出的汇编窗口中输入代码(图4)。他认真地填写完这段代码后,又选择右键弹出菜单中的“复制到可执行文件→选择部分”命令,在新弹出的窗口中保存这个文件即可,这样就修改了程序的入口点。
然后,黑客K又调出编辑工具PEditor将程序入口进行修改以便迷惑杀毒软件。通过“浏览”按键选中刚刚修改的DLL文件,在读出的文件信息中将入口点“00501A32”修改成与跳转入口相对应的“00501E 20”,接着点击“应用更改”按键就完成了DLL文件的加花修改全过程。
最后,黑客K还必须先将修改好的DLL文件导入到黑洞木马服务端中。他打开资源管理软件Resscope,在软件左边的列表中选择dllfile里面的getkey文件,再点击“文件→导入资源”,将修改好的DLL文件导入到了文件中保存后,一个新的可以绕过主动防御的免杀黑洞木马诞生了。在接下来正式入侵李飞电脑时,它将成为黑客K最重要的攻击武器……
小提示:木马经过免杀后,就不容易防范了。要对付它们,可以使用一些安全辅助工具,例如SSM。SSM的全称是System Safety Monitor,即系统安全监控器。它异常强大的功能能够监控到你系统中的每一个修改与变动,无论是什么样的穿墙或者免杀技术,在SSM的监控下,都会暴露出原形。
From:http://tw.wingwit.com/Article/Network/201311/10980.html