个人免杀木马后门DIY (二)

在第8期的文章中，我们讲述了如何打造个性的木马，其中重点讲述了木马界面的个性化修改，对于如何免杀木马，仅仅是简单的提了一下子。在本篇文章中，将重点讲解如何使用修改特征码的方法，让我们的木马彻底免杀!

木马特征码与免杀

木马免杀才是木马个性化的意义所在，否则界面外观再漂亮的木马程序，被杀毒软件查杀后，等于是一个中看不中用的废品。一般来说，杀毒软件查杀木马，靠的是识别木马程序中几个特殊字符，也就是所谓的“木马特征码”。如果在检测程序中，发现了程序中包含特征码，那么则判定此程序文件为木马。而普通的给木马加壳，也是通过加壳压缩过程，达到变换特征码的目的，从而实现免杀的效果。不过现在杀毒软件的脱壳能力非常强了，普通加壳方法不能实现免杀，因此只有手工修改木马特征码，才能实现真正的木马免杀!

定位木马特征码

如何定位木马特征码呢?可以采用手工的方法。不过太过于麻烦，这里我们使用一个叫作MyCCL V1.1Build 58的工具，实现半自动定位木马特征码，下面以免杀上兴木马V4.2为例进行介绍：

生成无加壳的木马服务端

首先，当然是生成一个上兴木马服务端程序了，具体配置不是本文的重点。就不多讲了。但是要注意的是，在生成木马服务端程序时，不要勾选“是否加壳压缩服务端”，否则生成的木马将会被压缩加壳，调试查找特征码时比较麻烦。

配置MYCCL定位参数

运行MyCCL V1.1 Build 58程序，点击“文件”按钮，浏览指定生成的木马服务端程序，将自动调入程序并进行PE头分析。在“目录”中设置免杀生成文件的保存路径，比较重要的是下面的几个参数：

“分块个数”用于设置对程序进行的分块数目，应先少量划分。确定特征码所在的大范围，一般可设置为10；“单位长段”可使用默认；“填充”处设置为“00”，表示用数据00填充程序块。

“开始位置”处默认设置为“EO”；“分段长度”也可采用默认的；点击“正向”按钮，可修改分段填充顺序为正向或反向，哪个方向都可以；“结束位置”处会自动检测出程序的结束地址，所以也可以用默认的。

最后是选择“复合定位”或“单一定位”项，由于不知道木马有几处特征码，因此―般最好选择“复合定位”。

分块定位

点击界面中的“生成”按钮。MYCCL会生成10个木马程序文件，每个文件中都有1/10的代码段数据被填充为00。生成的文件位于MYCCL目录下的“OUTPUT”文件夹中，文件名是对应的数据块填充地址范围。使用杀毒软件对生成的文件进行查杀，保留下来的都是没有包含特征码的程序块。

再次分块定位

返回MYCCL界面，点击“二次处理”按钮，会自动对记录的特征码地址段再次进行分块操作。在生成分块文件时，会自动检测到特征码所在的位置并进行提示，由于我们选择的是“复合定位”，所要查找的特征码位置可能不止一处。所以在弹出的提示对话框中点击“是”按钮，继续进行分块处理。

查杀完毕后，再次用杀毒软件查杀“OUTPUT”目录下的文件夹。自动查杀清除掉包含特征码的文件块。如果杀毒软件提示没有查找到病毒，那么可结束操作，否则的话，再次点击“二次处理”按钮，再进行杀毒软件扫描查杀，直到提示无病毒为止。此时在MYCCL下方的信息框中，会显示出木马的特征码来。可知上兴木马V4.2服务端的病毒特征码，是位于“0008D1C0_00011A1C”地址段处)。这里上兴是单一特征码，所以只有一处特征码地址；如果是其它的复合特征码木马的话，可会有多处特征码地址显示。

精确定位

找到的特征码位置段范畴还是太大，如何精确的定位特征码地址呢?点击MYCCL界面上的“特征码区间”按钮，在弹出的侧边栏中可看到所有查找保存的特征码地址在弹出的侧边栏中右键点击“0008D1CO_00011AlC”地址段。在弹出菜单中选择“复合定位此处特征码”命令。然后在MYCCL中将“分块个数”设置为100，再次点击“生成”按钮，将自动对找到的特征码范围进行分块，生成100个文件，再用KV20071进行查杀。

可看到此次清除掉了36个病毒，也就是说，还有36个地址段中可能是精确的特征码位置。点击“二次处理”按钮，重复前面的操作，直到查杀不出病毒为止。看看特征码范围是否还很大，可看到现在特征码范围是“00098640_000002D2”。还是不够精确，可重复上面的操作，经过多次操作后，最后得到了精确的木马特征码地址“000988CA-00000002”。

修改特征码

找到特征码地址，就可进行修改实现免杀了。运行二进制编辑软件“UltraEdit-32 V13.00”，载入上兴木马服务端程序文件，找到地址“000988CA”处，可看到对应的代码为“3c”，我们将其改为“00”。修改后保存文件，再用KV2007查杀一下修改过的木马，可以发现KV2007已经对上兴木马视而不见了!

现在我们的上兴木马已经免杀了，不过只是对KV2007免杀，用其它的杀毒软件进行查杀，可能还会提示有病毒。这是因为，每个杀毒软件定义某个木马的特征码并不相同，刚才我们查找和修改的仅仅是上兴的KV2007特征码。因此要想让自己的木马对所有的杀毒软件都免杀，需要参照上面的操作对这些杀毒软件再进行一次特征码查找修改操作。――不要嫌麻烦，这种方法修改后的木马，百分之百的免杀，效果远比那些自动化的工具好的太多!

下载地址：http：//.cn/u/42ccdoe3010007e8