暗小子

制作ASP网页木马

648618852@qq.com(暗小子) — Sun, 28 Jun 2009 16:54:47 GMT

2005年是免杀技术突飞猛进的一年，越来越多的人熟悉了简单的PE文件免杀操作。而杀毒软件也是在查杀方面下足了功夫，使得修改文件变得越来越困难。但是，无论定位和修改多么麻烦，只要杀软利用的是特征码扫描，PE文件就可以通过相对简单的特征码修改达到免杀。而CCL一直没有涉足的方面是脚本免杀，坛里也有朋友让我改进一下，因此最近给CCL加上了定位脚本特征码的功能，并对一款asp木马进行了测试，结果怎么样呢？
这里我选择了海阳顶端网ASP木马2006版。由于并不知道杀软是怎样定义脚本文件的特征码，所以我的操作与定位PE文件相同。杀软仍用大名鼎鼎Kaspersky。先查一下吧，卡巴报警发现Backdoor.ASP.Ace.aw。注意末尾的aw，这是杀软对同一个文件不同版本的特征码定义，有时我们需要运用定位过程中版本号的变化来确定特征码的位置。
首先假设将特征码定位器CCL设置成手动定位，生成文件200个，打开海洋的木马主文件2006.asp。这时弹出了定位范围选择窗口，由于脚本文件不是PE文件，因此没有分段，整个文件就是一个整体。如图1所示，段名为整个文件，段大小就是整个文件的大小。

screen.width-333)this.width=screen.width-333" border=0>

直接点确定，对整个文件进行定位。生成文件完毕后对目标进行查杀，结果，只剩下一个文件没有被杀，OUT_00000000_000001C3，这说明当从偏移0开始1C3个字节的数据被填0时，该文件免杀。我们看一下这里是什么。
代码:

javascript:resizepic(this) border=0>
我们将“文件上传成功”改为“上传成功”，保存后再检测。OK，免杀成功了。运行一下试试，海洋的各项功能正常。当然，文件上传成功后的提示已经变了。如图2。

screen.width-333)this.width=screen.width-333" border=0>

总结一下：卡巴对恶意脚本的定义仍是沿用特征码的方式，且明显没有PE文件的特征码定义那样复杂。希望杀软早日在检测方式上产生根本性的改变！

灰鸽子改特征免杀麦咖啡和诺顿8.0企业版

648618852@qq.com(暗小子) — Sun, 28 Jun 2009 16:51:59 GMT

灰鸽子改特征免杀麦咖啡和诺顿8.0企业版
今天难得被我在学校机房蹭到了机器，装了诺顿和麦咖啡。反正还没针对这两个杀毒软件做过免杀，所以干脆就改一下好了。
定位过程就免了，给出特征码位置：
诺顿的：起始偏移 000B9A4D 偏移大小 00000007
麦咖啡：只要修改000B28B8处就可完成免杀

先生成一个服务端，接下来用C32ASM打开（用16进制），按Ctrl+G跳到000B9A4D，我们看到了一大段的字符串，这些应该是程序控件名及属性的定义，修改大小写后并不会影响程序的正常执行。选中包含000B9A4D_000B9A54在内的一段，点右键，选择“修改数据”，选择“大小写反转”，最后保存文件，再用诺顿8.0企业版（病毒库都已经更新今天）查杀，通过，测试上线成功。

PS：从网上的资料来看，诺顿的特征码基本上是定位在字符串上，一般修改大小写就可完成免杀。

接下来在刚才修改免杀的基础上，我们再来修改麦咖啡的特征码。
用OC计算文件偏移000B28B8处的内存地址为004B9CB8，用OD加载鸽子服务端，按Ctrl+G跳转到004B9CB8处，看看该处的内容

004B9CB8 4E dec esi

这里是减法运算，我们来看看它附近的汇编代码。

004B9CB0 4E dec esi
004B9CB1 0049 00 add byte ptr ds:[ecx],cl
004B9CB4 43 inc ebx
004B9CB5 004F 00 add byte ptr ds:[edi],cl
004B9CB8 4E dec esi
004B9CB9 0000 add byte ptr ds:[eax],al

各个寄存器相互并不影响，也不存在堆栈和出栈操作，我们要做的是改变004B9CB8处的汇编代码，这样也就改变了特征码，最简单的方法就是将004B9CB8处的代码写到程序后面的0区域，然后用JMP指令来完成跳转。不过这里不需要这么做，如果将004B9CB5和004B9CB8处的代码交换一下，改成如下的形式

004B9CB5 4E dec esi
004B9CB8 004F 00 add byte ptr ds:[edi],cl

很明显原来004B9CB8处的代码换成了004B9CB5处的，而004B9CB5处的则换成了004B9CB8处的代码，交换顺序后，保存文件。用麦咖啡查杀已经通过，测试上线成功。

最后就是用Resource Hacker等资源编辑工具删除hacker资源，将修改后的服务端文件命名为CServer.dat覆盖到鸽子的Cache目录下。

分享木马的免杀技术经验

648618852@qq.com(暗小子) — Fri, 19 Jun 2009 07:08:35 GMT

分享木马的免杀技术经验
木马免杀,在国内应该起源于05年吧.从那时单一特征码到现在复合特征码,杀毒软件从无主动防御到有主动防御.免杀技术越来越难.但是万变不离其宗--改特征码.到现在一些辅助软件的行为查杀.

以下讲解都是以远程控制软件为例(这里补充一个概念,木马的反弹技术,就是服务端主动连接客户端.何谓主动连接呢,你只要把客户端软件在本机上开启后,中马的机子会主动连接上你的那个软件,而不必你去找他的IP,再与他连接,这样省去了不少麻烦)

因为现在的主动防御太强悍,尤其是卡巴,瑞星的主动防御是基于特征码,所以很容易过.选远控软件的时候应该选一个本身就过杀软的,如PCSHARE,iRaT+Classic,gh0st等等,我个人觉得这几个软件都不错,而且免杀容易.

行为查杀:大多数的木马有默认的释放路径,而且安装好后有几个专用名词,如灰鸽子安装好后,就用"灰鸽子安装完毕","黑防鸽子"安装好后有"黑防专版"等字样,这些都是作为行为查杀木马的特征.配置时候把路径改掉,配置好后用C32ASM把里面的字符找到后替换掉就可以了.

最关键的我还是认为是特征码,也许大多数的人认为是主动防御.因为从我用马的经验来说,像PCshare,iRaT+Classic等,只要改了特征码后,主动照过.因为这些软件本身就过杀软的主防.讲一下我改特征码的经验吧:

1,定位出特征码后,不要急着改特征码,应该先看看前面与后面的,我定位PCSHARE的时候定位出system.sys（小数点是被杀的，也就是特征码），而我把小数点前面的system改成大写后就过那款杀毒软件了。这就说，不要定位到哪里，就改到哪里。

2,定位到CAll时，应该试试这样：例，定位到call 12345678,这样一个，你试试改成 call 12345677，就是减1，这种方法很有用

3.定位到PE头时，应该PE头移位，我不详细讲，这个网上看看方法，很简单的，只是简单的计算一下，移位一下。第二种方法，我听群里朋友说，但自己还没有试过，就是用北斗加一下壳，然后再脱壳，这样可以免杀，

4,定位到输入表时，也是相应的移位，这个网上方法也很多。因为是浅谈嘛，所以不详细说，只是提示一下，你在查免杀方法的同时，会学到很多

5,第五是加一减一法，如果定位到数字或者其它什么符号时，加一减一试试，这个我也试过，有时候挺有用的

6,先加一个壳，再定位特征码，这样能减少特征码的修改。

7.跳转法。找个零区域，或者自己插入一个更佳，把代码移到零区域，这是一种常用的方法

8.对付卡巴，花指令很有效的，花指令如何写呢，首先花指令就是一堆废话，没有用的，你惟一要做的就是维持堆栈平衡，不然要出错的。

9,学习免杀应该懂一些十六进制工具，汇编工具，也应该懂一些汇编，其它改多了就好。推荐大家去下具的网址：www.pediy.com(这是一个大大有名的网站，看雪论坛），还有甲壳虫www.jksing.com/bbs里面有很多的免杀资料还会不定时的公布一些免费的DAT文件。

不过加密后就不是一句话了，哈哈。这个s端用海阳或冰狐都可以连得上的，密码是#。

其实只是换写了