让远控中的带头大哥更无敌.docVIP

让远控中的带头大哥更无敌 　　前几期介绍了远控中的带头大哥――DGRAT的设置方法，由于DGRAT木马的推出已经有一段时间了，所以现在自然不能逃过杀毒软件的查杀。今天我们就来对DGRAT进行一番简单快速的免杀，操作使用的方法也是最简单最传统的特征码修改法。 　　 　　point　A特征码的检测 　　 　　在DG目录中的Dala文件夹下，Loader，Exe和server Dll两个文件，这就是生成服务端的文件信息。我们可以对这两个文件进行免杀后，再来配置生成对应的服务端程序。也可以先创建服务端程序，自来进行各种免杀等操作。首先我们来定位文件的特征码。 　　运行MYCCL后点击“文件”按钮来选择Loader.Exe，这里不要选择“带后缀”选项。接着在“分块个数”选项中设置分块的个数，我们这里就设置为10。设置完成后点击“生成”按钮，就能在目录中生成相应的程序分块。现在启动金山毒霸对分块目录进行查杀，当杀毒软件检测到病毒文件后，就将其进行删除处理。 　　接着返回到MYCCL的主界面，点击“二次处理”按钮后，MYCCL会提示找到一处特征码，我们直接点击“是”按钮继续即可。接着再用杀毒软件对分块目录进行查杀，查杀完成后再次点击“二次处理”按钮。这样就可以获得一个较大的特征码范围。接下来我们重复上面的操作，来缩小特征码的范围，最后得到Loader.Exe和SerVer.Dll文件特征码的精确地址000D0003和0000F632如图1)。” 　　 　　point　B模块文件免杀 　　 　　首先运行十六进制工具C32Asm，点击“文件”菜单的“打开十六进制文件”。选择Data文件夹中的Loader.Exe文件。接着在窗口中单击右键菜单中的“跳转”命令，在弹出窗口的“OFFSET”中设置为，并选择“文件开始”这一项(如图2)。这样程序将自动跳转到特征码的位置。Loeder.Exe文件的特征码修改非常简单，找到以后点击右键选择“填充”命令，然后选中“使用十六进制填充”并中输入“00”进行填充就可以了(如图3)。 　　接着按照同样的方法打开Server Dll文件，通过右键的“跳转”命令找到特征码的位置。这里就不能用OO直接进行填充操作了，因为这样操作以后服务端程序无法上线。现在在特征码的位置点击右键中的“对应汇编模式编辑”命令，这样就跳转到程序的汇编窗口。当我们跳转到汇编窗口以后，还可以看见特征码的代码，但是当移动滚动条向上以后就看不见了。既然特征码的位置是0000F632，那么它一定就位于0040F62F和0040F634之间。 　　现在我们利用跳转法，将包括特征码在内的几句代码复制下来。然后在代码0040F62F的原位置处。单击右键中的“汇编”命令，在弹出的窗口输入NOP进行填充。这时我们可以看到，刚刚隐藏的特征码0000F632已经被填充掉。现在选择0040F630这句代码，单击右键中的“汇编”命令，在弹出的窗口输入jmp 0040F64A进行调整(如图4)。然后在0040F64A这个位置上，通过汇编窗口依次写入复制下来的代码，即CAL然后再加上一句跳转命令，使其跳转到0040F634这个代码的原位置上，这样就可以保证程序的顺利运行(如图5)。 　　 　　point　C主体文件免杀 　　 　　如果要直接对生成的服务端进行修改的话，最好的方法依然是修改特征码。通过定位我们得到程序特征码的位置00000002，用C32Asm载入生成的服务端程序。结果发现特征码位于文件的PE头位置，当我使用了多种方法更改PE头以后，结果不是被金山所查杀，就是服务端运行出现错误。 　　于是我还是选择了最常见的免杀方法――加花指令。运行最新版本的“超级加花器1.8”，这是笔者最喜欢的一款加花工具。因为该工具是为数不多的会进行更新的。将服务端文件直接拖动到程序的主界面进行释放，选择“指定区段名”选项后进行自定义设置，这样可以避免固定的区段名被判断查杀。然后在“花指令”下拉列表中选择一种花指令，单击“加花”按钮就可以了(如图6)。 　　为了让服务端生存的时间较长，最好再对添加的花指令进行修改。通过OllyDBG载入加花的文件，程序自动就停留在添加的这段花指令面前。这里我们准备替换“mov esi，dword ptr[esp+24]”和“mov edi。dword ptr[esp+28]”两句代码。选择这两句汇编代码后点击右键菜单中的“汇编”命令，在“汇编”窗口用“rnovesl，dword ptr[esp+52]”替换以前的一句代码，然后NOP掉另外一句其中的代码即可(如图7)。程序修改完成后选择刚刚修改的内容以后，点击右键菜单中