给木马穿上“隐身衣”

开篇：润墨网以专业的文秘视角，为您筛选了一篇给木马穿上“隐身衣”范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

以前我们曾谈到可以通过对木马进行加花指令、加壳等方法打造免杀木马，但这种木马使用时间短，往往只要杀毒软件版本一更新或者更换其它杀毒软件，就能很容易被认出，撕开伪装而被杀之。难道就没有一种很好的方法，让木马做到长时间的免杀吗？

方法当然有，今天笔者就来介绍一种通过使用“复合定位特征码”的方法，制作一种超级免杀木马，所有杀毒软件按此方法都能过哟！这样的话我们的木马就等于穿上了一层“隐身衣”……

一、精心配置木马

让木马“隐形”的时间越久，配置的技巧就要越高明，绝对不能用默认的参数来配置木马，否则极易被杀毒软件查杀掉。下面教大家配置一个经典的客户端木马：这里我们用灰鸽子黑防专版做示范讲解。

打开鸽子后单击“配置服务程序”按钮，在“服务器配置”窗口配置“自动上线设置”、“安装选项”、“启动项设置”这三项。其中第一项“自动上线设置”需按自己的情况进行设置这里不介绍了。第二项“安装选项”要把安装路径修改为“$(WinDir)\360tray.exe”，并把“安装安装成功后自动删除安装文件”的勾去掉，这样才不会使别人怀疑。第三项“启动项设置”显示名称，写“360tray.exe”，服务名称“360tray.exe”，最后描述信息填“360安全卫士实时保护模块”。（如图1）

配置完成后，生成木马，并双击测试能否正常上线，确认可用后便开始对它进行复合定位特征码进行免杀设置啦，这里将生成的木马存放在桌面上，并命名为mm.exe。

二、定位特征码

定位特征码就是通过软件不断的实验查找，找出杀毒软件认出木马的特征代码，只要对这些代码进行打乱修改或者伪装，我们就可以轻松骗过杀软继续运行，犹如穿上了“隐身衣”……考虑到每款杀毒软件对木马的特征码定位不同，但原理相通，我们这里只以瑞星杀毒软件为例进行讲解。

为了让后面的定位效果更高，在定位特征码之前我们要先对木马（mm.exe）进行压缩编辑，这样既能去掉部分垃圾代码，让木马正常运行，重要的是后期查找特征码能节约一半的时间。

打开Simplepack软件，将mm.exe拖入软件界面，在选项中勾选“创建备份文件”并选择方式1“压缩资源”，最后单击“压缩”按钮完成压缩。压缩后的mm.exe只有341Kb，容量缩小竟一倍，双击测试依然可以正常上线。（如图2）

紧接着我们对压缩后的mm.exe进行特征码的定位。打开“Myccl复合特征码定位器”软件，单击“文件”按钮将“mm.exe”导入，并将下面输出目录设置为“C:\Users\Administrator\Desktop\OUTPUT”，把“分块个数”改成100，接着单击“特征区间”按钮，最后单击“生成”按钮。此时，窗口提示“请对生成目录进行杀毒，杀毒完成后请点击按钮”，确定后开始对桌面上的“output”文件夹进行杀毒。（如图3）

瑞星查到病毒后，点击“清除病毒”并将下面“用相同的方式处理此类问题”勾上，这时会杀掉100个病毒文件。完成杀毒后回到“MyCCL”窗口，这里继续单击“二次处理”按钮，软件提示“程序已经找到一处特征码，但可能还有其它特征码，是否继续生成文件进行分析？”，这里单击“YES”按钮。此时继续对着桌面上的“output”文件夹杀毒，发现病毒同上处理清除。重复上述过程，直至对“output”文件夹的100文件查不到病毒为止。（如图4）

查完后MYCCL右侧的“特征码区间设定”会查找特征码如“000000E0_00001DBB”，右击特征码并选择“复合定位此处特征”接着将分块个数填上“100”继续生成“output”文件夹进行杀毒定位其它特征码。几次定位后，最后分到单位长度为2最终得到一个特征码，将它记下，假设我们这里得到的最终复合特征码是“000545cc_00000002”。这里只需记录前面的“000545CC”即可，它就是瑞星判断mm.exe为木马的特征码，正是我们想要得到的。

三、修征特征码

得到瑞星对mm.exe的特征码，紧接着我们要利用C32Asm软件对mm.exe进行重新编译，把000545cc编码重新编写，使程序运行跳过000545cc，这样不支持它就不会被瑞星所发现啦！最后生成新的mm.exe即可，也就是最终的超级免杀木马。原理搞清楚啦，开始行动吧！Let’go！

启动C32Asm将mm.exe打开进行反编译，此时右击鼠标从菜单中选择“对应HEX编辑”，在该编辑模式下去寻找“000545cc”这项，但可惜最终我们只找到“000545c0”和答案接近。不要急，其实它就是我们要找的特征码所在，在它后面继续找到“E5”然后右击鼠标选择“对应汇编模式编辑”。（如图5）

此时在汇编模式下找“000545CC”代码，并将它下面的一句也连同复制下来，内容如下：

004545CC:83C8 FF OREAX,FFFFFFFF

004545CF:FF6424 20 JMPNEAR [ESP+20]

接着在该模式下去寻找一段空的位置（也就是汇编为00的位置）例如为00400021，右击鼠标选择“汇编”并在窗口里输入“jmp 00400039”。这样我们就构建了一个跳转的空区域，在这里程序是不运行的，下面我们要在这里做些文章。

选中000545CC的汇编代码“OREAX，FFFFFFFF”复制，接着来到刚才的空区域里随便选个位置右击“汇编”项，在弹出窗口中将代码粘贴进去并去单击下面的“汇编”按钮结束。紧接着在该句的下面一句输入汇编命令“JMP 004545CF”，单击“汇编”结束。后面继续找回到“000545cc”选择汇编输入“NOP”命令把该句NOP掉，接着在该句右击鼠标选择汇编输入“JMP 00400021”命令。

最后单击文件，另存为给该木马重新封包成mm.exe命令。双击mm.exe发现可以灰鸽子可以正常上线，再用杀毒软件对它进行查杀，没有找到病毒，至此这个超级免杀木马就完成啦！

“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文”