Trojan的完全修改—脱壳+特征码修改+PEDIY
来源:互联网 发布:国外英文软件 编辑:程序博客网 时间:2024/06/06 11:50
M**2 Trojan的完全修改—脱壳+特征码修改+PEDIY
--------------------------------------------------------------------------------
http://www.hackbase.com 阅读: 时间:2004-12-6 6:30:55 来源:www.hackbase.com
作者:tankaiha[NE365][FCG] 主页:http://www.vxer.net
声明:本文只为技术研究,鉴于其可能的危害性,讲得很笼统,且作者不提供任何程序和代码!
一、程序运行流程
由M**2生成器生成M**2 Trojan文件,运行后,程序将自身复制到Windir/system32/目录下,文件名为预先设定(假设为aaa.exe),并删除原文件。然后启动新进程,从文件内部数据提取并生成aaa.dll。同时修改注册表项HLM_SOFTWARE_Microsoft_Windows_CurrentVersion_Run。并进入正常循环,进行Hook。
二、修改目标
杀毒软件对aaa.exe和aaa.dll扫描时都会报警。我们的目标,完全躲过杀毒软件的追杀,并正常运行。
三、主文件脱壳+去除自校验
主程序(aaa.exe)用PEiD查壳为UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay],手动脱时断点下在popad处,并用RecImport修复引入表。(详细见fly有关的脱壳文章)
00415218 FF96 E85E>call dword ptr ds:[esi+15EE8]
0041521E 61 popad
0041521F - E9 A418FF>jmp aaa.00406AC8
脱壳并修复引入表后,双击程序,程序不能正常运行。用Ollydbg进行跟踪,在如下处有跳转:
00404F4B 53 push ebx
00404F4C E8 9BF5FF>call
00404F51 85C0 test eax,eax
00404F53 75 07 jnz short mir_Unpa.00404F5C
在该指令前,程序已调用SetFilePointer将指针指向文件尾,读出文件尾部的较验数据,并进行判断。解决方法,将未脱壳文件的文件尾部分字节粘贴到已脱壳文件尾,再次运行程序,程序能正常运行。
四、dll文件的脱壳
关闭进程,对system32目录下生成的aaa.dll查壳,显示仍旧是UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay],关于dll脱壳的详细过程请参照fly大侠的文章。用Ollydbg手动脱壳时,重定位表位于003C73FE处,大小BD2,用UPXAngela修复,修复后的文件偏移定位11000处,并在脱壳过的文件中将Relocation表的数据进行修改。
输入表修复时,跟踪到程序入口并选择一个API调用跟踪进去,得到地址003C20C8开始,大小178个字节,用RecImport修复。
程序的入口改为EFF4。至此,dll文件的修改完成。
五、对dll文件进行特征码定位并修改
用特征码定位器对dll文件定位特征码,定位和修改的方法略。
六、PEDIY
这是最关键的一步,因为每次运行aaa.exe,程序都从自身的数据里提取并生成aaa.dll,而不会使用我们修改过的dll,因此必须在aaa.exe内部将我们修改的dll嵌进去,并让aaa.exe运行时,生成的是我们修改过的没有特征码的dll文件。
将aaa.exe复制到windir/system32目录下,用Ollydbg载入并运行,设置断点bp CreateFileA。当文件名参数显示为“windir/system32/aaa.dll”时,手动跟踪,找出位置如下:
004063BA 50 push eax
004063BB E8 6CE0FF>call
004063C0 8BD8 mov ebx,eax
004063C2 6A 00 push 0
004063C4 8D45 E0 lea eax,dword ptr ss:[ebp-20]
004063C7 50 push eax
004063C8 8B45 F8 mov eax,dword ptr ss:[ebp-8];这里开始修改
004063CB 50 push eax
004063CC 8B45 FC mov eax,dword ptr ss:[ebp-4]
004063CF 50 push eax
004063D0 53 push ebx
004063D1 E8 4EE1FF>call
004063D6 53 push ebx
004063D7 E8 38E0FF>call
记下WriteFile时,写入的字节数大小,因为这是原dll数据在文件中的大小。关闭Ollydbg,用UltraEdit打开aaa.exe,搜索“MZ”,找到原dll文件的起始位置后填充为0,大小不要超过刚才记录的字节数。
再用UltraEdit打开aaa.dll(已脱壳的),将dll中的全部数据复制到exe文件偏移处00014798h处(自校验数据之前),保存并关闭。用PEInfo(by:破解勇)修改exe文件的最后一节节表的数据,RawSize大小加上1BBD2(这是dll的字节数),VirtualSize修改为新的RawSize按1000h对齐即可,ImageSize会自动修改。这样,我们已经把特征码修改过的dll放进了exe文件中,下面修改文件指令(刚才的WriteFile处,主要是lpBuffer和nBytesToWrite要修改),使它在运行时正常生成aaa.dll文件。修改方法如下:
004063C8 /E9 D42E00>jmp aaa.004092A1
004063CD |90 nop
004063CE |90 nop
004063CF |90 nop
004063D0 |90 nop
004063D1 |E8 4EE1FF>call
004063D6 |53 push ebx
空隙处(004092A1)的代码如下:
004092A1 B8 D2AB01>mov eax,1BBD2
004092A6 50 push eax
004092A7 B8 A06F41>mov eax,aaa.00416F98 ; ASCII "MZP"
004092AC 50 push eax
004092AD 53 push ebx
004092AE ^ E9 24D1FF>jmp aaa.004063D1
其中00416F98指向了文件中的新的dll数据的起始地址。保存修改后,运行程序。正常执行。
七、主程序特征码修改
这样,排除了aaa.exe中dll文件的特征码干扰(因为原来含特征码的dll已经被覆盖,新的内嵌dll已经没有特征码了),剩下对aaa.exe文件本身进行特征码定位和修改。过程略。修改完毕后,OK。已经成了一个完美的Trojan。
- Trojan的完全修改—脱壳+特征码修改+PEDIY
- 一次PEDIY---修改Windows自带的calc.exe (OD Switch大法)
- 一次PEDIY---修改Windows自带的calc.exe (Unable to read memory of debugged process......”错误提示)
- 易语言 特征码的8种修改方法
- 打造不被查杀的黑器—特征码的自动定位与通用修改方法
- 驱动级的特征码修改——终级免杀之PcShare
- Gist特征图像接口的修改
- 修改系统日期、替换explorer.exe的Trojan-Downloader.Win32.Agent.rjq1
- 修改系统日期、替换explorer.exe的Trojan-Downloader.Win32.Agent.rjq2
- 修改一个完全颜色的CListCtrl类
- 修改一个完全颜色的CListCtrl类
- 对话框程序的Pediy
- 如何修改LingX 用于最新的传奇版本上二楼附如何脱壳,及问题解答
- 注册表修改完全攻略
- 完全修改mysql字符集
- 修改disk驱动监控文件系统的IO特征
- caffe源码修改:抽取任意一张图片的特征
- caffe源码修改:抽取任意一张图片的特征
- 2005.02.15 Emerald
- 理财:简单刷卡 教你省钱秘招
- 理财新概念 “卡”式理财五大准则
- 制作在光盘上运行的Windows
- 2005年的第一场雪
- Trojan的完全修改—脱壳+特征码修改+PEDIY
- 男人要牢记的十大忠告
- 翻译 managed DirectX9(第二章)
- 村委会换届选举
- 书馆·自习·剑(外一篇)——仅以此文纪念那段自习岁月
- 七日
- 推荐程序员的求爱技巧
- SQL 核心语句
- CCC0030 的第一个测试通过了,开心呢...