木马免杀的方法有很多种,最为基础的木马免杀方法就是修改特征码来免杀,今天就来谈一谈特征码跳转法,其实这个方法原理也是很简单,杀毒软件要定位一处代码是否是特征码,那么它就需要综合几处的特征来进行判定,这样的判定方法是为了防止过多不必要的误报。
那么就可以把原位置上的特征码移动到别处去执行,执行完毕以后再跳转回特征码原位置的下一句代码继续执行,经过这样的跳转就能很好的打乱杀毒软件的判断流程,于此同时有些不能进行等价替换的特征码,你也可以尝试一下特征码跳转的方法进行修改。
image
接着就用跳转法演示一下木马免杀的操作流程,由于下面被控端报的是云引擎,那么我就不在进行特征码定位了,随便找一处位置进行修改做演示,至于木马能不能免杀先暂时不说,让你留点悬念接着往下看。
image
首先把被控端程序载入C32,用汇编模式打开被控端程序,下面就以 ADD ESP,18 和 push 32 这俩句做为特征码来给大家进行讲解,主要流程是先把这俩句代码写到空白区域去,然后在原来的位置上写上跳转指令,跳到特征码所在空白区域的新位置,等把空白区域这俩句代码执行完毕以后,再用跳转代码跳转回去。
image
修改前把需要修改的代码以及位置都记录一下,这样可以防止修改错误后方便进行对照。都记录好后就可以进行修改了,跳转指令的用法是 JMP 加上要跳转的地址,列如:JMP 004050D4 ,程序执行到这句代码就会跳转到 004050D4 的位置去继续执行。
具体怎么用C32修改特征码方面的知识我不会讲的太详细,因为这是文章不是视频教程写的太详细会很麻烦,所以具体细节你们可以自行百度或者是看相关的教程学习,我主要精力会用来详细讲解更多木马免杀方面的干货技巧。
image
修改完成以后可以用C32另存为exe程序测试一下,试试看程序是否还能正常运行上线,然后在用杀毒软件扫描一下木马是否成功免杀,这些基础的免杀技巧可以多练几遍,所谓日积月累等你的知识量盘大了,给木马免杀还不是手到擒来。
image
为啥我的被控端随便修改一处代码,就能达到木马免杀的效果,那是因为我这款被控端的特征码已经全部被我修改了,杀毒软件报毒的是云查杀,说明被杀的是文件的MD5值,只要我小小的修改一下代码,程序的MD5值自然就会发生改变,从而达到木马免杀的效果。
网友评论