admin管理员组

文章数量:1567280

2024年3月22日发(作者:)

龙源期刊网

免杀木马的制作与防范

作者:金良磊

来源:《电脑知识与技术》2008年第01期

木马相信很多人都知道,而木马的确比常规病毒更狠,监控你的操作,吞噬你的隐私,破

坏你的数据。有人要问,为什么我们的计算机安装了最新的杀毒软件,每天进行各种补丁的更

新升级,还有防火墙的时时保护,为什么还会中木马呢?那是因为,有一种木马叫免杀。

一、什么是免杀?

免杀是个相对词,针对目前的技术而言,多数木马都不能避免会被杀毒软件监控到并杀掉

的危险,于是木马的实用性就低很多。为了能避开杀毒软件的识别,黑客们开始从木马下手,

通过各种手段“重新包装”木马,让它在杀毒软件的眼皮底下蒙混过关,这就是所谓的免杀。

二、制作免杀木马

下面我们来看看黑客们是通过何种方法制作完成免杀木马的:

我们首先制作一个普通的灰鸽子木马服务端取名,然后登录

/zh-cn/网站把灰鸽子木马服务端上传过去,通过多引擎系

统中扫描,你可以发现,绝大多数的杀毒引擎都能够识别出该木马程序,木马成功率只有10%

简直可以忽略了,木马也就没意义了!(如图1)

同时,针对这个我们对它进行免杀设置,一般常用的免杀方法为加密代码、

花指令、加壳、修改程序入口以及手工DIY PE,至于纯手工操作并不推荐,因为这种方法制

作出的程序效果虽好,但太过复杂,需要很强的汇编语言基础,并对Windows内核有一定认

识。

1、代码修改法

MaskPE内含多种信息模块,可以方便的修改程序指令,打乱源代码,针对利用代码识别

病毒的安全软件很有效果。

龙源期刊网

下载Maskpe2.0运行起来,点击“LoadFile”按钮,通过路径选择桌面上的木

马,然后在“Select Information”项里选择“PE Information”项,接着点击“Make File”在新生成的

木马名字里填上“”,最后单击“保存”按钮完成木马修改。(如图2)

接下来把这个修改过的在本机上测试运行并查看黑鸽子服务端是否能正常

连接,我们发木马能正常运行并启用。最后把这个免杀木马发到/zh-

cn网站测试免杀效果,发现明显要比没做免杀前效果好很多,这样就增大了木马的运行成功

率!

2、花指令添加法

花指令就是一些汇编指令,原本用在Crack中,但目前更多的引入到木马修改上。这种方

法使得杀毒软件不能正常的判断病毒文件的构造,对于采用文件头提取特征码的杀毒软件有特

殊的杀伤力。

从网上下载一款加花器,然后运行加花器并点击“open go”按钮,从路径中选择刚才新生成

的木马,最后单击“加花”按钮,软件会提示你加花成功,确定后你的

便被加过花了。(如图3)

3、加壳法

其实目前的加壳对于很多杀毒软件的防范用处并不大,不仅仅是由于杀毒软件自身识壳能

力增强,更多的是加壳后对木马本身的伤害很大,尤其是有些木马的服务端默认已经作过加壳

操作,如果进行二次加壳,很有可能造成程序启动异常,所以我们在选择加壳软件对木马进行

加壳后,一定要在自己的机器上测试木马是否能正常运行再确定是否使用。

流行的方法可以选择一些非常规壳:比如NsPack或者PESpin ,下面我们采用

PESpin 对木马服务端进行处理。打开PESpin,单击“打开文件”按钮,选择自己的木马

,然后在PESpin中单击“设置”选项卡,把“保护选项”和“高级选项”中的内容全部

勾选上,然后把“创建备份文件”也勾选上,这样是为了防止加壳过重引起木马失效而做的准

备。最后单击“pe spin”选项卡,单击“保护文件”即可完成加壳。(如图4)

4、入口点修改法

最后修改程序入口点,它的目的和加壳相似,就是让杀毒软件无法从黑客程序的入口点来

获取源代码。修改方式可以使用FEPB、Ollydbg或者PEditor等,载入程序后找到“入口点”信

息,接着在原来的数值的基础上加上个整数值后保存。打开“FEPB”软件,单击“Target…”然后

选择要修改的木马,然后选择“Break In”按钮,此时会弹出一个窗口寻问是否确

认这步操作,单击“确定”完成修改。(如图5)

龙源期刊网

做到这里,我们的木马经过四层免杀设置基本上已经完成了免杀过程,接下来把它再次送

进VirusTotal网扫描,你发现能识别为病毒的杀毒引擎已经不多了,免杀的目的就达到了。

三、免杀木马的防范:

免杀木马固然厉害,能骗过一些杀毒软件的眼睛。那如何防范免杀木马呢:

1、对于防范免杀木马的最好办法就是安装主动型防御软件。

2、使用Ewido防木马软件,对未知的程序进行查杀,它能查出很多免杀木马,威力惊

人,但仅针对木马查杀能力强,其它方面不推荐。

3、“无忧捆绑文件探测器”,从网上下载程序之后很多程序捆绑了免杀木马,用它打开下

载的程序可以检测出该程序是否被捆绑木马,若发现捆绑了直接删除即可。

本文标签: 木马程序修改加壳免杀

版权声明:本文标题:免杀木马的制作与防范 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1711043429a296795.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。