Simone如何给木马做免杀
的有关信息介绍如下:
给木马穿上隐身衣精心配置木马灰鸽子黑方专版,做示范讲解打开---配置服务程序----自动上线设置(自定义按需要)-----安装设置(要把安装路径修改为$(windir)\360tray.exe,)并把文件安装后自动删除安装文件的勾去掉---启动项设置(显示名称为360tray.exe)----最后描述信息为“360安全卫士适时保护模块。配置完成后,发布生成木马,并双击测试能否正常上线,确认可以后便开始对他进行符合定位特征码进行免杀设置,这里将生成的木马存粗放在桌面上,并命名为MM.EXE二,定位特征码,定位之前我们先要吧MM进行压缩编辑,蛰样及去掉部分垃圾代码,让木马正常运行,重要的是后期查找特征码能节约一半的时间。打开simplepack软件 见MM.EXE 拖入软件界面,在选项中勾选“创建备份文件“并选择方式1”压缩资源“最后单击压缩,压缩后的mm一样可以上线,2经接着对压缩后的mm进行特征码的定位,打开myccl“符合码定位器”软件,单击文件按钮将mm.exe导入,将下面输入目录设置为”c:\users\adinistrator\desktop\OUTPUT,把分块个数改为100 接着单击 特征区间按钮 最后单击生成按钮 此时窗口提示 请对生成目录惊醒杀毒 杀毒完成后请点击 《二次处理》按钮 确定后开始对对桌面上的output文件夹进行杀毒 ,查到病毒后,点击“清除病毒”并将下面的“用相同方式处理此类问题”勾上,这时会杀掉100 多个病毒文件,完成杀毒后回到myccl窗口这里继续单击 二次处理 按钮 软件提示“程序找到一个特征码,是否继续生成文件特征码,但可能还会生成其他特征码,是否继续进行生成文件分析,? 这里单击yes 按钮 此时继续对桌面上的”output” 文件进行杀毒 重复处理 知道查不出病衡改毒为止, 查完后myccl;右侧的特征码区间设定,回查找特征码如:00000e0---00001db 有机特征码并选择“符合定位此处特征,接着将分块个数填上 100继续生成,output 文件夹进行杀毒定位其他特征码, 几次定位后 最后定到单位长度为2 最终得到一个特征码,,将它记下,假设我们这里得到的最重复合特征码是:00545cc—0000005这里我们只要记下前面的00545cc即可,他就是瑞星判断mm的特征码 正是我们想要的,、修改特征码。得到瑞星对mm的特征码,紧接着我们要对利用c32asm软件对mm进行编译,吧00545cc编码重新编写 使程序跳过oo545cc 这样不支持就不会被瑞星发现了,最后生成mm.exe就是最终的超级免杀木马,let go 启动c32asm将mm打开进行反编译,此时右键鼠标—选择(对应HEX编辑)在编辑模式咐弊判下找到00545cc这项,但最终我们只找到这项和00545c0和答案接近,不要急其实他就是我们要找的特征码所在,在他后边找到e5然后右击鼠标“对应汇编模式编辑”此时在汇编模式下找“00545cc”代码 并将下面一项一并复制下来,内容如下00545cc:83c8 ff or eax ffffffff004545cf ff6424 20 jmp near [esp+20]接着在该模式下去寻找 一卜搏段空的位置 (也就是汇编为00的位置)例如004000212 右键鼠标选择(汇编“并在窗口输入jmp 00400039.这丫给我们创建了一个跳转的空区域 这是程序不运行的,下来我们就要在这里做文章了,选中00545cc的汇编代码or eax ffffffff 复制 接着来到刚才的的空区域里随便个位置右击汇编项 在弹出窗口中将粘贴进去 单击汇编 结束 紧接着在该剧的下边一句输入汇编命令 jmp 004545cf 单击汇编 结束 后便继续找回 00545cc选择汇编输入 NOP命令 把该句的 NOP去掉 接着在该句右击鼠标选择汇编输入jmp 00400021命令。最后单击文件,另存为给该木马从型包装的成mm.exe命令双击mm.exe发现灰鸽子可以正常上现了,在查杀 没有找到病毒, 至此这个超级muma
