给木马穿上“隐身衣”.doc

给木马穿上“隐身衣”.doc给木马穿上“隐身衣”以前我们曾谈到可以通过对木马进行加花指令、加壳等方法打造免杀木马,但这种木马使用时间短,往往只要杀毒软件版本一更新或者更换其它杀毒软件,就能很容易被认出,撕开伪装而被杀之。难道就没有一种很好的方法,让木马做到长时间的免杀吗? 方法当然有,今天笔者就来介绍一种通过使用“复合定位特征码”的方法,制作一种超级免杀木马,所有杀毒软件按此方法都能过哟!这样的话我们的木马就等于穿上了一层“隐身衣”……一、精心配置木马让木马“隐形”的时间越久,配置的技巧就要越高明,绝对不能用默认的参数来配置木马,否则极易被杀毒软件查杀掉。下面教大家配置一个经典的客户端木马:这里我们用灰鸽子黑防专版做示范讲解。打开鸽子后单击“配置服务程序”按钮,在“服务器配置”窗口配置“自动上线设置”、“安装选项”、“启动项设置”这三项。其中第一项“自动上线设置”需按自己的情况进行设置这里不介绍了。第二项“安装选项”要把安装路径修改为“$(WinDir)\”,并把“安装安装成功后自动删除安装文件”的勾去掉,这样才不会使别人怀疑。第三项“启动项设置”显示名称,写“”,服务名称“”,最后描述信息填“360安全卫士实时保护模块”。(如图1) 配置完成后,发布生成木马,并双击测试能否正常上线,确认可用后便开始对它进行复合定位特征码进行免杀设置啦,这里将生成的木马存放在桌面上,。二、定位特征码定位特征码就是通过软件不断的实验查找,找出杀毒软件认出木马的特征代码,只要对这些代码进行打乱修改或者伪装,我们就可以轻松骗过杀软继续运行,犹如穿上了“隐身衣”……考虑到每款杀毒软件对木马的特征码定位不同,但原理相通,我们这里只以瑞星杀毒软件为例进行讲解。为了让后面的定位效果更高,在定位特征码之前我们要先对木马()进行压缩编辑,这样既能去掉部分垃圾代码,让木马正常运行,重要的是后期查找特征码能节约一半的时间。打开Simplepack软件,,在选项中勾选“创建备份文件”并选择方式1“压缩资源”,最后单击“压缩”按钮完成压缩。,容量缩小竟一倍,双击测试依然可以正常上线。(如图2) 。打开“l复合特征码定位器”软件,单击“文件”按钮将“”导入,并将下面输出目录设置为“C:\Users\Administrator\Desktop\OUTPUT”,把“分块个数”改成100,接着单击“特征区间”按钮,最后单击“生成”按钮。此时,窗口提示“请对生成目录进行杀毒,杀毒完成后请点击按钮”,确定后开始对桌面上的“output”文件夹进行杀毒。(如图3) 瑞星查到病毒后,点击“清除病毒”并将下面“用相同的方式处理此类问题”勾上,这时会杀掉100个病毒文件。完成杀毒后回到“L”窗口,这里继续单击“二次处理”按钮,软件提示“程序已经找到一处特征码,但可能还有其它特征码,是否继续生成文件进行分析?”,这里单击“YES”按钮。此时继续对着桌面上的“output”文件夹杀毒,发现病毒同上处理清除。重复上述过程,直至对“output”文件夹的100文件查不到病毒为止。(如图4) L右侧的“特征码区间设定”会查找特征码如“