论文部分内容阅读
以前介绍过很多免杀的方法,使用这些方法对上兴之类的木马加密加壳后,可以顺利突破国内常见的杀毒软件查杀。但是也有的同学发现,有一些特殊的木马并不是单文件的,在进行加密加壳后,生成的木马客户端主程序文件是不会被杀了,但木马运行时会释放出相应的DLL文件或其它资源文件,会被杀毒软件查杀,从而导致木马无法正常工作。这篇文章就教大家应对这种情况,让所有木马释放的文件也彻底免杀!
免杀失败之因
“BYshell 2008”是我比较喜欢用的一款木马之一,它可以通过恢复SSTD表突破一些简单的主动防御功能安全工具。在使用绝杀工具进行免杀时,发现顺利的躲过了杀毒软件的查杀。然而当我在执行木马时。电脑上安装的KV2009弹出了提示对话框,发现病毒文件“byshell32.sys”。关闭杀毒软件后进行检测,发现“byshell32.Sys”文件原来是Byshell木马的服务安装文件。
看来木马服务端主程序文件免杀成功,但是木马服务端程序运行时释放的“byshell32.sys”文件还是会被杀毒软件查出来。直接对木马服务端程序文件进行加密加壳,免杀效果不够彻底,只有再次进行彻底的免杀。
木马服务端资源分析
BysheIl木马生成器目录下有一个名为“Cache”的文件夹。在其中有一个名为“ByServer.dat”的文件,这个文件就是木马服务端程序的基础文件。木马生成器在经过用户的配置之后,将相应的配置信息加入到此文件中。最后才生成木马服务
查壳脱壳
在分析基础文件前,首先要进行查壳脱壳操作,否则无法查看到基础文件中的资源,也无法导出需要修改的资源。可用PEiD进行查壳,这里检测的结果表明Byshell 2008的基础文件没有加壳,是用“MicrosoftVisual C++7.0”语言编写的。在对其它木马免杀时,如果发现基础文件加了壳。一定要先进行脱壳步骤。具体的操作这里就不多说了。可参考以前的破解文章。浏览导出资源
运行资源浏览修改软件“Restorator2007”,将木马服务端基础文件“ByServer.dat”拖入到左侧边栏中,将自动导八分析基础文件中的所有资源。在左侧资源项目中展开“DLL”,可以看到其下名为“BYSHELLDLL”的资源项目,点击该项在右侧的资源查看器中可以查看到资源文件内容。“BYSHELLDLL”资源内容就是最终生成服务端程序释放的“byshell32 sys”文件。右键点击“BYSHELL DLL”,在弹出菜单中选择“导出”→“导出为”→“导出为”命令,在弹出对话框中将资源保存为“test.dll”。
修改免杀导出资源
现在木马服务端释放的“byshell32.sys”文件对应资源文件被导出了。用杀毒软件对导出的“test.dll”文件进行查杀扫描,杀毒软件提示发现病毒,说明“test.dll”文件是被查杀的,可以有针对性的对其进行免杀操作。
资源查壳脱壳
其实对导出资源的免杀,与对普通木马服务端程序进行免杀差不多的,同样的,在对导出资源进行免杀前首先要查壳脱壳。这样才能方便后面的免杀操作。这里对Byshell导出的“test.dll”文件进行查壳,发现检查信息为“Microsoft VisualC++v7.1 DLL”,说明这是一个VC++的DLL调用资源,没有进行加壳可以直接进行免杀。如果在免杀其它木马时。发现导出资源加了壳。那么就必须先进行脱壳操作。
资源免杀
既然导出资源没有加壳,我们就选择直接对其进行加压缩加密壳“Themida v1.8.55”。这个壳的免杀效果依然非常好,对付各2009版的杀毒软件免杀成功率极高。
运行“Themlda v1.8.5.5”加壳工具,在“InputFilename”中浏览指定导出的DLL文件,取消对“Same asinput”项的选择。在“Output Filename”中浏览指定加壳后的文件名路径。然后点击左侧工具栏中的“ProtectionOptions”中勾选所有加密保护项目。
最后点击工具栏上的“Protect”按钮。开始对DLL文件进行加密加壳免杀。加壳成功后,用杀毒软件检测刚才加壳生成的DLL文件,提示未检测到病毒,说明资源文件免杀成功。
导入免杀资源
DLL资源文件免杀成功后,就要将其重新导入木马服务端生成文件中。导人资源时,不能使用“Restorator 2007”了,需要使用另外一个资源修改工具“ResScope v1.6”(下载地址:http://www.greendown.cn/soft/3613.html)。当然。在前面导出资源时。其实也可以使用“ResScope v1.6”的,只不过“Restorator 2007”比较直观一些而已。
运行“ResScope v1.6”,将Byshell的服务端基础文件“ByServer.dat”拖动到左侧边栏中,展开“DLL”项,选择其中的“BYSHELL_DLL”。然后点击菜单“文件”→“导入资源”,浏览选择刚才加过壳的DLL文件,确定后即可导入资源文件。此时“BYSHELL_DLL”项目上会有一个红色的标记,表示资源项目未保存。点击工具栏按钮“另更当前资源”。即可保存导入的免杀DLL了。
木马彻底免杀
运行Byshell木马生成器,重新生成一个木马服务端程序,此时的Byshell木马服务端程序是在DLL资源加壳的情况下生成的,本身并不能免杀。因此,我们还需要对生成的木马服务端程序继续加壳进行免杀。免杀成功后,此时木马才是真正的彻底免杀了,木马在运行过程中释放的“Byshell sys”文件,由于事先已经加过了壳,因此杀毒软件同样视而不见!
免杀失败之因
“BYshell 2008”是我比较喜欢用的一款木马之一,它可以通过恢复SSTD表突破一些简单的主动防御功能安全工具。在使用绝杀工具进行免杀时,发现顺利的躲过了杀毒软件的查杀。然而当我在执行木马时。电脑上安装的KV2009弹出了提示对话框,发现病毒文件“byshell32.sys”。关闭杀毒软件后进行检测,发现“byshell32.Sys”文件原来是Byshell木马的服务安装文件。
看来木马服务端主程序文件免杀成功,但是木马服务端程序运行时释放的“byshell32.sys”文件还是会被杀毒软件查出来。直接对木马服务端程序文件进行加密加壳,免杀效果不够彻底,只有再次进行彻底的免杀。
木马服务端资源分析
BysheIl木马生成器目录下有一个名为“Cache”的文件夹。在其中有一个名为“ByServer.dat”的文件,这个文件就是木马服务端程序的基础文件。木马生成器在经过用户的配置之后,将相应的配置信息加入到此文件中。最后才生成木马服务
查壳脱壳
在分析基础文件前,首先要进行查壳脱壳操作,否则无法查看到基础文件中的资源,也无法导出需要修改的资源。可用PEiD进行查壳,这里检测的结果表明Byshell 2008的基础文件没有加壳,是用“MicrosoftVisual C++7.0”语言编写的。在对其它木马免杀时,如果发现基础文件加了壳。一定要先进行脱壳步骤。具体的操作这里就不多说了。可参考以前的破解文章。浏览导出资源
运行资源浏览修改软件“Restorator2007”,将木马服务端基础文件“ByServer.dat”拖入到左侧边栏中,将自动导八分析基础文件中的所有资源。在左侧资源项目中展开“DLL”,可以看到其下名为“BYSHELLDLL”的资源项目,点击该项在右侧的资源查看器中可以查看到资源文件内容。“BYSHELLDLL”资源内容就是最终生成服务端程序释放的“byshell32 sys”文件。右键点击“BYSHELL DLL”,在弹出菜单中选择“导出”→“导出为”→“导出为”命令,在弹出对话框中将资源保存为“test.dll”。
修改免杀导出资源
现在木马服务端释放的“byshell32.sys”文件对应资源文件被导出了。用杀毒软件对导出的“test.dll”文件进行查杀扫描,杀毒软件提示发现病毒,说明“test.dll”文件是被查杀的,可以有针对性的对其进行免杀操作。
资源查壳脱壳
其实对导出资源的免杀,与对普通木马服务端程序进行免杀差不多的,同样的,在对导出资源进行免杀前首先要查壳脱壳。这样才能方便后面的免杀操作。这里对Byshell导出的“test.dll”文件进行查壳,发现检查信息为“Microsoft VisualC++v7.1 DLL”,说明这是一个VC++的DLL调用资源,没有进行加壳可以直接进行免杀。如果在免杀其它木马时。发现导出资源加了壳。那么就必须先进行脱壳操作。
资源免杀
既然导出资源没有加壳,我们就选择直接对其进行加压缩加密壳“Themida v1.8.55”。这个壳的免杀效果依然非常好,对付各2009版的杀毒软件免杀成功率极高。
运行“Themlda v1.8.5.5”加壳工具,在“InputFilename”中浏览指定导出的DLL文件,取消对“Same asinput”项的选择。在“Output Filename”中浏览指定加壳后的文件名路径。然后点击左侧工具栏中的“ProtectionOptions”中勾选所有加密保护项目。
最后点击工具栏上的“Protect”按钮。开始对DLL文件进行加密加壳免杀。加壳成功后,用杀毒软件检测刚才加壳生成的DLL文件,提示未检测到病毒,说明资源文件免杀成功。
导入免杀资源
DLL资源文件免杀成功后,就要将其重新导入木马服务端生成文件中。导人资源时,不能使用“Restorator 2007”了,需要使用另外一个资源修改工具“ResScope v1.6”(下载地址:http://www.greendown.cn/soft/3613.html)。当然。在前面导出资源时。其实也可以使用“ResScope v1.6”的,只不过“Restorator 2007”比较直观一些而已。
运行“ResScope v1.6”,将Byshell的服务端基础文件“ByServer.dat”拖动到左侧边栏中,展开“DLL”项,选择其中的“BYSHELL_DLL”。然后点击菜单“文件”→“导入资源”,浏览选择刚才加过壳的DLL文件,确定后即可导入资源文件。此时“BYSHELL_DLL”项目上会有一个红色的标记,表示资源项目未保存。点击工具栏按钮“另更当前资源”。即可保存导入的免杀DLL了。
木马彻底免杀
运行Byshell木马生成器,重新生成一个木马服务端程序,此时的Byshell木马服务端程序是在DLL资源加壳的情况下生成的,本身并不能免杀。因此,我们还需要对生成的木马服务端程序继续加壳进行免杀。免杀成功后,此时木马才是真正的彻底免杀了,木马在运行过程中释放的“Byshell sys”文件,由于事先已经加过了壳,因此杀毒软件同样视而不见!