欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

免杀基础汇编知识

来源:www.hack58.com 作者:佚名 时间:2006-08-09 TAG: 我要投稿
 

今天我以国内著名黑客软件灰鸽子VIP2005为例说下怎么样利用伪SMC的技术加一点伪花指令来改造自己的免杀木马的!这里说的伪SMC的意思是利用SMC的原理转移代码加了一点伪花指令(就是垃圾代码),没有作任何修改(我不知道要增加什么功能)。
\\花指令:一种反反编译技巧(用一堆没有什么用的代码和无聊的跳转骚扰Cracker的反汇编)
(如果地方不够可以用TOP或ZeroAdd添加区段,鸽子的服务端是地方够了,就不说这两个软件的使用了,TOP不能在WIN2000下使用哦)
所需要工具(http://geren.3322.org都有提供):
1、加壳工具
2、资源黑客
3、loadPE
4、ollydbg
先生成灰鸽子VIP2005的服务端(这里省略)
导出MAINDLL.DLL            \\RCData_2.bin是被杀的,导出后修改后缀为DLL(或者EXE),其他不修改可以删除(不被杀)
注:可以从MAINDLL.DLL里面再导出的两个DLL(GETKEY.DLL与HOOK.DLL)

说明一下:这里的RCData_2.dll就是MAINDLL.DLL,

然后我们先给RCData_2.dll加壳(所有程序建议先加壳后修改,因为修改后不可以再加壳,加壳工具可以自己选择)
下面我们开始加壳,我选择用北斗星加壳程序(国产的好东东)

我们先用杀毒软件测试是否被杀~~~~呕~~~~有毒 (我电脑只有卡巴,其他的我测试也可以通过)

下面是主要的步骤要开始了~~~~睁大眼睛哦~
为了节省时间我们这里直接修改RCData_2.dll(就是MAINDLL.DLL,里面的小的DLL也是用一样的方法)
用loadpe打开我们的RCData_4.dll记录下入口点与基址RVA
入口点        :000DF647 +下面的基址RVA,=
基址RVA        :13140000
新入口地址      :13266ED0      \\我选这里

然后用Ollydbg打开RCData_2.dll
一直往下拉找到一片空白的地方选择一个地址为新入口地址(请记录这个地址,我把他放在上面↑)

依次输入输入如下代码:
push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
loop 空格 某一处,新的地址

到某一处: \\13266EE4
nop
jmp j1                              \\JMP就是跳转的意思,J1就是另一个空白的地址

j1: jmp j2                        \\跳转到的J1输入跳转到另一个地址(J2)
nop
...............
这次我往上跳~~
jmp jn                              \\跳转N次后到JN
jn: jmp 老入口地址(入口点+基址RVA)1321F647      \\JN处的跳转,当然就是把他跳回去
然后选中我们修改过的代码,复制到可执行部分,选择部分,然后保存文件

最后用loadpe修改刚才保存的文件新入口为记录的新入口13266ED0 - (基址RVA)13140000 =126ED0 保存确定后就OK了
我们再杀毒看看~~~~~~~~~~

成功!!
最后说一下,你导回去这个DLL后也可以用这种方法修改 服务端程序.exe
我就不演示了!

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载