1K下载者的免杀过程
今天弄了一个Kendy写的1K的下载者.不穿墙.但是对于木马的行为运用很方便.所以对服务端进行了处理,
定位其特征码为
卡吧[特征] 000002DE_00000003 004002DE
瑞星[特征] 000003F0_00000002 004003F0
金山[特征] 00000380_00000002 00400380
江民文件监控[特征] 000002E2_00000002 004002E2
江民<还原> 000002A2_00000018办公助 004002A2
[特征] 000002BC_00000025 004002BC
<还原> 000002E2_00000002
可以看到定位出的特征码的位置都在节表上面,更改特征码很难,稍微一点差错,就会出现问题..
怎么办呢..加花不行..这个1K的服务端不知高人Kendy怎么处理的...加花加壳都死..怎么办.要不把头部换掉..试试..还好.所定位出来的特征码都是只有一处.改起来也容易一些..
用OD载入文件.看到
0040027A 00 DB 00
0040027B 00 DB 00
0040027C 00 DB 00
0040027D 00 DB 00
0040027E 0000 ADD BYTE PTR DS:[EAX],AL
00400280 > 55 PUSH EBP
00400281 8BEC MOV EBP,ESP
00400283 81EC A8000000 SUB ESP,0A8
00400289 53 PUSH EBX
0040028A 56 PUSH ESI
0040028B 57 PUSH EDI
载入后文件头的位置是00400280 > 55 PUSH EBP.....
郁闷的是文件起始位置也在OD的头部,如果用JMP跳转的话..会因离原文件太远而引起文件出错,
还好.00400280 > 55 PUSH EBP的上部有几处0区域.那好,接下来就把
00400280 > 55 PUSH EBP
00400281 8BEC MOV EBP,ESP
00400283 81EC A8000000 SUB ESP,0A8
00400289 53 PUSH EBX
0040028A 56 PUSH ESI
0040028B 57 PUSH EDI
这几处整体上移两位看看...哈..过可卡吧,瑞星..金山...
没想到这次这么简单就过了...可是这次最垃圾的江民没有过..郁闷...有不能用其他方法处理..
忽然发现江民的特征码就在文件头不远的位置
004002BD |. BE 1C024000 MOV ESI,server原.0040021C ; ASCII "C:\WINDOWS\KENDY0123456789.EXE"
这句是把0040021c传送到ESI寄存器里面...
找到0040021c的位置看到的是ASCII码ASCII "C:\WINDOWS\KENDY0123456789.EXE"这句移走..在返回到原来的位置修正传送的地址..然后保存...免杀了....打开服务端后..可以查看到其进程.但是不能下载了..
郁闷..平常这种情况以经成功了...
郁闷啊..重新在来...
这次干脆我把文件头一直到江民特征码的全部代玛上移...
江民过了.哈...........但是金山又杀了..金山的特码
金山[特征] 00000380_00000002 00400380
这处更是更是改不得.一改全死啊..怎么办...
加花.加壳.改头,改特码全不好使..我晕倒了....
最后一招了..PE优化...把改好的过卡吧,瑞星.金山的文件载入到"sPirit rEbuilder"
点选优化文件 .排列文件头.修正文件校验..开始优化...
哈..成功......打开服务端后正常上线..
