木马特征值免杀

---

完成木马特征值免杀实验，注意生成的种子文件名需带上学号。并利用生成的免杀种子实现网页挂马，网页上必须有学号信息。最后说说有哪些有趣的修改特征值的方法。

---

一. 木马特征值免杀

0x01. 灰鸽子配置生成木马

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-o1M47YVJ-1668697669125)(https://s2.loli.net/2022/11/17/j2syDWN9Z3nCLvG.png)]

0x02. 使用MyCCL复合特征码定位器反复缩小目标进行定位

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3gTsNFAq-1668697669127)(https://s2.loli.net/2022/11/17/u1OiDKqMTtPJE6j.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VjnLHbLV-1668697669128)(https://s2.loli.net/2022/11/17/MrLT8IZuUmV9SFY.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mbuunkqi-1668697669129)(https://s2.loli.net/2022/11/17/5KvM9UArh1WCn8t.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2IKKyxrO-1668697669130)(https://s2.loli.net/2022/11/17/3vbOdrZeQ9UV4Bk.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0duF58xo-1668697669131)(https://s2.loli.net/2022/11/17/7pNWm4dv9kMPRoS.png)]

0x03. 直到定位到很小的区间

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PGaBFtlR-1668697669134)(https://s2.loli.net/2022/11/17/L1As83FmuCPNqli.png)]

0x04. 用工具将文件偏移地址0009B9C3转换成内存地址0049C5C3

0x05. 使用OD跳转特征值语句的执行顺序以实现免杀

0049C5C1 JMP 004A2788  ;跳转到一片空白区域
...
...
...
004A279D MOV EAX,DWORD PTR SS:[EBP-101C]	;执行原特征值语句
004A2788 JMP 0049C5C7	;跳转回原地址的下一语句的地址

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yHl5gS2F-1668697669136)(https://s2.loli.net/2022/11/17/thWDuSnTsZF9dbJ.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ADwvvVdU-1668697669137)(https://s2.loli.net/2022/11/17/jUPk4X6iBQolaFW.png)]

0x06. 将修改后的文件并重新导出为新的免杀程序

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FHSZa8Zn-1668697669138)(https://s2.loli.net/2022/11/17/yhGSZPJI4VBQo1Y.png)]

0x07. 杀毒程序扫描通过

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lL9VzLH9-1668697669140)(https://s2.loli.net/2022/11/17/TGsMcOQbyEiNKVf.png)]

0x08.放到http服务器上

0x09. 编辑网页参数，利用IE浏览器漏洞实现网页挂马

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-v0bydVu8-1668697669144)(https://s2.loli.net/2022/11/17/eW7OlNnT2Bs98yQ.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hgRGqLY2-1668697669145)(https://s2.loli.net/2022/11/17/M6Nw9dQu2V4snIc.png)]

0x0a. Win+R输入services.msc打开服务窗口，找到Apache2.2右击属性,修改为手动开启，后并手动开启该服务

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KfDvxX8v-1668697669146)(https://s2.loli.net/2022/11/17/tImCOuHaZnkgTwe.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hBOfL8Vm-1668697669147)(https://s2.loli.net/2022/11/17/OM1WqhAYtCE7yfs.png)]

0x0b. Win XP访问目标网站，被远程植入木马

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-taNpR6Ob-1668697669149)(https://s2.loli.net/2022/11/17/1NAvtOPb3Lx4DVM.png)]

0x0c.Win 7灰鸽子客户端发现靶机上线

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VQX6RWzd-1668697669151)(https://s2.loli.net/2022/11/17/nozN8QVPOaJWeUG.png)]

0x0d. 靶机木马程序清除步骤

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-igOwF9ym-1668697669153)(https://s2.loli.net/2022/11/17/fPHJRwCI7AgbUxk.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-to1LspPa-1668697669155)(https://s2.loli.net/2022/11/17/SGu5N7RwLHOym3K.png)]

手动删除：

1. 打开XP虚拟机，启动IE浏览器，单击菜 单栏-工具-Internet选项，弹出Internet选项配置对话框，单击“删除文件”按钮，在弹出的“删除文件”对话框中，选择“删除所有脱机内容”复选框，单击“确定”按钮直到完成；
2. 双击“我的电脑”，在浏览器中单击“工具”-“文件夹选项”菜单项，单击“查看”属性页，选中“显示所有文件和文件夹”，并将“隐藏收保护的操作系统文件”复选框置为不选中状态，单击“确定”按钮；
3. 关闭已打开的web页面，启动“windows”任务管理器，单击“进程”属性页，在“印象名称”中选中所有“IEXPLORE.EXE”进程，单击“结束进程”按钮；
4. 删除“C:\WINDOWS\Hacker.com.cn.exe”文件；
5. 启动“服务”管理器，选中右侧详细列表中的“GrayPigeon_Hacker.com.cn”，单击右键，在弹出菜单选中“属性”菜单项，在弹出的对话框中，将“启动类型”改为“禁用”，单击“确定”按钮；
6. 启动注册表编辑器，删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentContronlSet\Service\GrayPigeon_Hacker.com.cn节点；
7. 重新启动计算机；
8. 打开灰鸽子程序，查看自动上线主机，已经不存在了。

二. 修改特征值的方法

方法⼀:直接修改特征码的十六进制法

1.修改方法:把特征码所对应的⼗六进制改成数字差1或差不多的⼗六进制.
2.适⽤范围:⼀定要精确定位特征码所对应的⼗六进制,修改后⼀定要测试⼀下能否正常使⽤.

方法⼆:修改字符串大小写法

1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换⼀下就可以了.
2.适⽤范围:特征码所对应的内容必需是字符串,否则不能成功.

方法三:等价替换法

1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适⽤范围:特征码中必需有可以替换的汇编指令.⽐如JN,JNE 换成JMP等.

方法四:指令顺序调换法

1.修改方法:把具有特征码的代码顺序互换⼀下.
2.适⽤范围:具有⼀定的局限性,代码互换后要不能影响程序的正常执⾏

方法五:通用跳转法

1.修改方法:把特征码移到零区域(指代码的空隙处),然后⼀个JMP⼜跳回来执⾏.
2.适⽤范围:没有什么条件,是通⽤的改法