木马特征值免杀

---

完成木马特征值免杀实验，注意生成的种子文件名需带上学号。并利用生成的免杀种子实现网页挂马，网页上必须有学号信息。最后说说有哪些有趣的修改特征值的方法。

---

一. 木马特征值免杀

0x01. 灰鸽子配置生成木马

0x02. 使用MyCCL复合特征码定位器反复缩小目标进行定位

0x03. 直到定位到很小的区间

0x04. 用工具将文件偏移地址0009B9C3转换成内存地址0049C5C3

0x05. 使用OD跳转特征值语句的执行顺序以实现免杀

0049C5C1 JMP 004A2788  ;跳转到一片空白区域
...
...
...
004A279D MOV EAX,DWORD PTR SS:[EBP-101C]	;执行原特征值语句
004A2788 JMP 0049C5C7	;跳转回原地址的下一语句的地址

0x06. 将修改后的文件并重新导出为新的免杀程序

0x07. 杀毒程序扫描通过

0x08.放到http服务器上

0x09. 编辑网页参数，利用IE浏览器漏洞实现网页挂马

0x0a. Win+R输入services.msc打开服务窗口，找到Apache2.2右击属性,修改为手动开启，后并手动开启该服务

0x0b. Win XP访问目标网站，被远程植入木马

0x0c.Win 7灰鸽子客户端发现靶机上线

0x0d. 靶机木马程序清除步骤

手动删除：

1. 打开XP虚拟机，启动IE浏览器，单击菜 单栏-工具-Internet选项，弹出Internet选项配置对话框，单击“删除文件”按钮，在弹出的“删除文件”对话框中，选择“删除所有脱机内容”复选框，单击“确定”按钮直到完成；
2. 双击“我的电脑”，在浏览器中单击“工具”-“文件夹选项”菜单项，单击“查看”属性页，选中“显示所有文件和文件夹”，并将“隐藏收保护的操作系统文件”复选框置为不选中状态，单击“确定”按钮；
3. 关闭已打开的web页面，启动“windows”任务管理器，单击“进程”属性页，在“印象名称”中选中所有“IEXPLORE.EXE”进程，单击“结束进程”按钮；
4. 删除“C:\WINDOWS\Hacker.com.cn.exe”文件；
5. 启动“服务”管理器，选中右侧详细列表中的“GrayPigeon_Hacker.com.cn”，单击右键，在弹出菜单选中“属性”菜单项，在弹出的对话框中，将“启动类型”改为“禁用”，单击“确定”按钮；
6. 启动注册表编辑器，删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentContronlSet\Service\GrayPigeon_Hacker.com.cn节点；
7. 重新启动计算机；
8. 打开灰鸽子程序，查看自动上线主机，已经不存在了。

二. 修改特征值的方法

方法⼀:直接修改特征码的十六进制法

1.修改方法:把特征码所对应的⼗六进制改成数字差1或差不多的⼗六进制.
2.适⽤范围:⼀定要精确定位特征码所对应的⼗六进制,修改后⼀定要测试⼀下能否正常使⽤.

方法⼆:修改字符串大小写法

1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换⼀下就可以了.
2.适⽤范围:特征码所对应的内容必需是字符串,否则不能成功.

方法三:等价替换法

1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适⽤范围:特征码中必需有可以替换的汇编指令.⽐如JN,JNE 换成JMP等.

方法四:指令顺序调换法

1.修改方法:把具有特征码的代码顺序互换⼀下.
2.适⽤范围:具有⼀定的局限性,代码互换后要不能影响程序的正常执⾏

方法五:通用跳转法

1.修改方法:把特征码移到零区域(指代码的空隙处),然后⼀个JMP⼜跳回来执⾏.
2.适⽤范围:没有什么条件,是通⽤的改法

1.修改方法:把具有特征码的代码顺序互换⼀下.
2.适⽤范围:具有⼀定的局限性,代码互换后要不能影响程序的正常执⾏

方法五:通用跳转法

1.修改方法:把特征码移到零区域(指代码的空隙处),然后⼀个JMP⼜跳回来执⾏.
2.适⽤范围:没有什么条件,是通⽤的改法