--------------------------------------------------------------------------
黑客动画吧 https://www.doczj.com/doc/0f5348013.html,
致力于中国最专业的黑客安全站点
黑客动画吧,有你更精彩
--------------------------------------------------------------------------
高三忙,很久没有做动画,趁现在是国庆长假,我也来做几个动画凑凑热闹~^o^
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆
网上公布的那些木马免杀器之类的加壳工具使用不了多久就被杀了,这时大家是否想
到把以前被杀的加壳工具稍微改造一下就会变成了一个免杀的加壳工具呢?
不浪费大家的时间了,开始动画吧
主要用到的工具:WinHex OllyDbg
我选择的加壳工具是:仙剑 V0.1003 (其它加壳工具的修改方法类似)
思路: 木马加了壳之后还被杀毒软件杀掉是因为杀毒软件会脱壳,但是杀毒软件并不
是什么壳都会脱,它们只会脱一些常见的已知壳,它们是根据壳的特征识别是什么壳
才脱的,所以我的思路是→修改壳的特征,达到免杀
第一步:
先拿一个被杀的木马来加壳(因为要找壳特征并且要修改,这里不可以加CRC校检
),加壳后的木马还是被杀的
第二步:
用OD载入加过壳的木马,一般用OD载入后前面那20行内就是壳的特征,我们来简单
汇编一下吧,把原来的指令换成可以执行同样效果的指令(不懂的可以到黑客动画吧
论坛里面找这个帖“免杀必会汇编指令”)
我这里是修改这两行:
地址 HEX数据(16进制) 汇编指令
004AA06F 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
004AA076 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
把上面两行分别改为:
地址 HEX数据(16进制) 汇编指令
004AA06F 64:A1 FF000000 MOV EAX,DWORD PTR FS:[FF]
004AA076 64:8925 FF00000>MOV DWORD PTR FS:[FF],ESP
保存下来看看,看不报毒了,
运行一下,成功,上线正常
既然我们知道改那两行指令可以达到免杀,那么我们来改加壳工具吧,让它加壳的木马直接免杀!
用WinHex打开加壳工具(仙剑 V0.1003)
搜索→查找十六进制数值
输入刚刚修改处的HEX数据 64:A1 00000000 注:“:”和空格以及“>”要去掉
把查找到的数值替换成我们修改后免杀的数值 注:“:”和空格以及“>”要去掉
搜索→替换十六进制数值
保存下来看看,看看是不是用它加壳的木马直接免杀
晕~刚刚忘记备分一个鸽子了,现在再找一个,看还是被杀的
看免杀了,运行也正常
动画结束
本动画献给 不会做免杀的人,懒的做免杀的人,对免杀或软件修改感兴趣的人
以及所有喜欢`支持 黑客动画
吧 的人
我的论坛ID: fyzero