灰鴿子木馬特徵值免殺

• 2022 年 11 月 17 日
• 筆記
• 安全, 網路安全

木馬特徵值免殺

完成木馬特徵值免殺實驗，注意生成的種子文件名需帶上學號。並利用生成的免殺種子實現網頁掛馬，網頁上必須有學號資訊。最後說說有哪些有趣的修改特徵值的方法。

一. 木馬特徵值免殺

0x01. 灰鴿子配置生成木馬

0x02. 使用MyCCL複合特徵碼定位器反覆縮小目標進行定位

0x03. 直到定位到很小的區間

0x04. 用工具將文件偏移地址0009B9C3轉換成記憶體地址0049C5C3

0x05. 使用OD跳轉特徵值語句的執行順序以實現免殺

0049C5C1 JMP 004A2788  ;跳轉到一片空白區域
...
...
...
004A279D MOV EAX,DWORD PTR SS:[EBP-101C]  ;執行原特徵值語句
004A2788 JMP 0049C5C7  ;跳轉回原地址的下一語句的地址

0x06. 將修改後的文件並重新導出為新的免殺程式

0x07. 殺毒程式掃描通過

0x08.放到http伺服器上

0x09. 編輯網頁參數，利用IE瀏覽器漏洞實現網頁掛馬

0x0a. Win+R輸入services.msc打開服務窗口，找到Apache2.2右擊屬性,修改為手動開啟，後並手動開啟該服務

0x0b. Win XP訪問目標網站，被遠程植入木馬

0x0c.Win 7灰鴿子客戶端發現靶機上線

0x0d. 靶機木馬程式清除步驟

手動刪除：

1. 打開XP虛擬機，啟動IE瀏覽器，單擊菜 單欄-工具-Internet選項，彈出Internet選項配置對話框，單擊「刪除文件」按鈕，在彈出的「刪除文件」對話框中，選擇「刪除所有離線內容」複選框，單擊「確定」按鈕直到完成；
2. 雙擊「我的電腦」，在瀏覽器中單擊「工具」-「文件夾選項」菜單項，單擊「查看」屬性頁，選中「顯示所有文件和文件夾」，並將「隱藏收保護的作業系統文件」複選框置為不選中狀態，單擊「確定」按鈕；
3. 關閉已打開的web頁面，啟動「windows」任務管理器，單擊「進程」屬性頁，在「印象名稱」中選中所有「IEXPLORE.EXE」進程，單擊「結束進程」按鈕；
4. 刪除「C:\WINDOWS\Hacker.com.cn.exe」文件；
5. 啟動「服務」管理器，選中右側詳細列表中的「GrayPigeon_Hacker.com.cn」，單擊右鍵，在彈出菜單選中「屬性」菜單項，在彈出的對話框中，將「啟動類型」改為「禁用」，單擊「確定」按鈕；
6. 啟動註冊表編輯器，刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentContronlSet\Service\GrayPigeon_Hacker.com.cn節點；
7. 重新啟動電腦；
8. 打開灰鴿子程式，查看自動上線主機，已經不存在了。

二. 修改特徵值的方法

方法⼀:直接修改特徵碼的十六進位法

1.修改方法:把特徵碼所對應的⼗六進位改成數字差1或差不多的⼗六進位.
2.適⽤範圍:⼀定要精確定位特徵碼所對應的⼗六進位,修改後⼀定要測試⼀下能否正常使⽤.

方法⼆:修改字元串大小寫法

1.修改方法:把特徵碼所對應的內容是字元串的,只要把大小字互換⼀下就可以了.
2.適⽤範圍:特徵碼所對應的內容必需是字元串,否則不能成功.

方法三:等價替換法

1.修改方法:把特徵碼所對應的彙編指令命令中替換成功能類擬的指令.
2.適⽤範圍:特徵碼中必需有可以替換的彙編指令.⽐如JN,JNE 換成JMP等.

方法四:指令順序調換法

1.修改方法:把具有特徵碼的程式碼順序互換⼀下.
2.適⽤範圍:具有⼀定的局限性,程式碼互換後要不能影響程式的正常執⾏

方法五:通用跳轉法

1.修改方法:把特徵碼移到零區域(指程式碼的空隙處),然後⼀個JMP⼜跳回來執⾏.
2.適⽤範圍:沒有什麼條件,是通⽤的改法