教你解密Gh0st0远控木马VIP版配置信息-New4.PDFVIP

原原文文地地址址:/tips/3589 0x00 简简介介 Gh0st是一款非常优秀的开源远程控制软件，由红狼小组的Cooldiyer开发。开源3.6发布 一段时间，作者对其进行大量重写 并发布1.0 Alpha，这个版本是有VIP的，我也有幸收集到一套。 当你拿到一个别人的免杀木马你想做什么，学习免杀方法？ 而你由发现你拿到的样本你手头的控制端可以完美兼容，你想把配置信息修改了写个专版生成器吗？想？那就跟我来吧！ （其实你看完文章也不会写，我也没有写过） 0x01 分分析析过过程程 本文用到的Ollydbg快捷键： F9 运行程序/继续运行 F8 步过代码，遇到CALL容易跑飞建议少用 F7 跟进，不容易跑飞程序。 F2 下断点，然 F9可以跳过一些代码段。 F4 执行到所选行，常用。 想写生成器吗，前提条件要先把配置信息加密解密算法给解了，这里我从服务端exe入手，就不从生成器上下手了，毕竟我 们多数情况只有服务端exe样本。 注意看生成器下面“GH0S C+用户配置信息+GH0S C”，这就是我们要解密的字符串。假如我们现在才抓到服务端exe怎么找 配置？一般情况能直观快速找到的，1、写在资源文件里面 2、写在exe、dll尾部附加数据上。 （我写DRA 的时候这两种都试 过），我们用C32ASM工具16进制编辑。拖到最 发现文件尾部有配置信息。大家是否觉得有点简单…… 难的篇幅太大不在 本文考虑范围内。 下面我们用动态调试工具Ollydbg打开，设置CreateFileW函数断点，这里我用工具直接设置，你也可以使用bp CreateFileW命令 设置。为什么要这么做？它要读取自身配置肯定要“打开自己”所以断点设置在这个函数最合适，当然也有其他方法不在本文 讨论范围，然 按F9把程序运行起来。 如上图所示的时候 （如果不是的话继续按F9），我们按AL +F9返回程序，按几下F8向下走。看到ReadFile函数还有 CloseHandle、字符GH0S C，这个时候就说明程序已经把“配置”读取完了，正常情况下应该准备进入解密了。所以下面出现 的CALL调用都要非常注意 （一般要按F7进入，不要再按F8了可能会跳过关键） 看到这个CALL，我们用F7跟进，然 按多个F8直到下一个CALL。 004015F3 |. E8 88FEFFFF CALL server n…… …… …… 看到关键算法CALL 至于怎么判断的我只能说我事先做过功课了，实践中大家要多试试），我们还是用F7跟进 （其他无用部分你可以用F2+F9或F4跳过即可）。 |. E8 B4FEFFFF CALL server.004013E0 在F7跟入就可以看到 | /8A1401 /MOV DL,B TE PTR DS:[ECX+EAX] |. |80EA 08 |SUB DL,8 0040140A |. |80F2 20 |XOR DL,20 0040140D |. |881401 |MOV B TE PTR DS:[ECX+EAX],DL |. |41 |INC ECX |. |3BCE |CMP ECX,ESI |.^\7C EF \JL SHORT server 这是解密算法关键部分记下地址，我们这里换个工具用IDA看看这个函数 （004013E0）。 提示：IDA快速跳转地址快捷键 是”G”， 转过去以 我喜欢用F5插件 （Hex-Rays Decompiler ），这里我直接按F5看C代码了 （这部分操作就不截图装B了，事实是也没 什么需要好截的）。 对比下OD里面的汇编代码慢慢品，你会发现关键代码就两行。 |. 80EA 08 |SUB DL,8 0040140A |. 80F2 20 |XOR DL,20 有一个字符，减8和异或20的操作。 for (i = 0; i len; i++) { data[i] -= 0x8; data[i] ^= 0x20; } 到这里我们已经找到关键算法部分，你可能没弄明白还是不知道怎么办。看下图的现成工具，实在懒的话自己百度找，或者 你找一下gh0s