3.实战演习 
1.）修改字符特征 
好，下面我们依然以一个病毒防御工作者的角度来考虑我们每一步应该做什么，然后在利用逆向思维分而治之。 
现在假如我们拿到一个木马样本灰鸽子，首先当然要分析它究竟有什么功能，怎样运行以及怎样保护自己等。其实这一步要求的专业知识是很多的，但考虑到我们的读者，我们暂且用一个比较简单易行的方法——运行木马AND查看此程序的帮助文档。 
我们打开RegSnap，新建一个快照，打开RegSnap后，点击[新建快照]按钮（如图1），在弹出的对话框中选择

然后保存快照，现在已经将RegSnap配置好了，下面运行我们的木马程序（提醒：做免杀时，一定要记住养好随时备分的好习惯，以防止修改错误或是实验运行时破坏、删除木马）。 
木马运行完毕后，我们在按照上面的方法重新做一个快照并保存，然后按快捷键F5，在弹出的“比较快照”对话框中选择刚才保存的快照，在“第一个快照”中选择我们刚才第一次保存的快照，而“第二个快照”选择我们后保存的快照存档，很快结果就出来了（如图3）。 

有的朋友对于使用RegSnap收集到的信息感到无力分析，抱怨收集到的东西太多，在这里我简单的介绍一下，首先应注意的是生成做对比的两个快照之间的时间要尽可能短，另外要排除带有OpenSaveMRU的注册表键值，还要排除有关*.rsnp文件的创建读写等操作记录。下面我们就将有用的信息提取出来，逐一分析。 
文件列表于 C:\WINDOWS\*.* 
新增文件 
木马.exe 

注册表报告 
新增主键 
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\A1Pass-admin\桌面\huigezi\复件 Server02.exe 
键值: 字符串: "复件 Server02" 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Class 
键值: 字符串: "LegacyDriver" 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\ClassGUID 
键值: 字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}" 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Control\ActiveService 
键值: 字符串: "木马服务" 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\木马服务\Description 
键值: 字符串: "灰鸽子服务端程序。远程监控管理." 
……

2.）修改输入表 

不知有的朋友是否知道，PE文件的正常运行是离不开其内部输入表函数的，而不同的程序，其内部输入表函数的名称与在文件中的位置是不一样的，所以输入表函数也成了病毒防御工作者制作特征码紧盯的地方之一。在我查出来的关于灰鸽子的特征码来看，“瑞星大哥”已经将其的一处输入表函数作为特征码了。所以掌握输入表函数免杀技巧对于新入门的朋友来说势在必行！ 
[PE文件小知识：PE文件是WINDOWS系统中特有的一种文件结构，它包括PE文件头、输入表与相关资源文件等等] 
经过我的测试，直接单独修改文件内部的输入表函数会导致程序运行不正常甚至崩溃！那就没有办法了吗？我可没那么容易认输！经过一翻苦战，终于让我在LordPE中找到了解决办法，同时FoBnN的文章也给了我非常大的启发…… 
我们先打开LordPE，点击[PE编辑器]按钮，在弹出的对话框中选中木马文件，打开后点击[目录]（如图8），再点击导入表后面的[…]（如图9）。 

在弹出的对话框中我们选择wininet.dll下的InternetOpenUrlA（如图10），有的朋友要问了，为什么非选择InternetOpenUrlA这个输入表函数呢？呵呵！那是因为这个输入表里有特征码哦，关于怎样确定特征码，我在后面会介绍，大家先别着急。 

好的，关于LordPE就先停在这，下面我们就用WinHex来查找InternetOpenUrlA这个输入表函数的所在位置，并将其用0填充（操作方法：单击WinHex右面的16进制信息，输入0即可）（如图11、12）。 

然后将其写到空白区域（既显示000000的区域），一定要从头开始写入，这样在以后计算地址时不容易出错，除此之外也要注意输入表函数的大小写不要搞错（如图13）。 

保存后我们在回到LordPE那里，在需要更改的InternetOpenUrlA输入表函数上单击右键，在弹出的菜单里选择“编辑”，将Thunk里的信息改成000B9D5E（如图14）即可。 

有的朋友要问了，刚才我们不是把那个输入表函数放到000B9D60那里了吗？到这怎么变成000B9D5E了？其实原理很简单，因为每个输入表函数前面都是有一个空格的，我们虽不用真正把那个空格加进去，但填写它的地址时一定要空出来，否则就会出错！而将000B9D60减去一个空格所占的位置，其地址正好为000B9D5E，还不十分明白的朋友在仔细看看图13，下面我们在回到LordPE，看看我们改过的输入表函数变成什么样了（如图15）？ 

那我们该怎么办呢？其实简单的很，只要在重新改一下输入表函数的名称就可以了（如图16）。 

有的时候因为我们所填写的地址为比较靠后的，例如我们现在改的这个000B9D5E，后面仅能容纳两个字节，所以更改输入表函数时只能键入两个字，对于这种情况我们可以先把Thunk里的信息改成如000B9D60这样的起始地址，改输入表函数名更改完毕后在将000B9D60改回原来的值（既000B9D5E），保存后即可成功，我们试一下看看（如图17）。 

经测验鸽子的各项功能均正常！在用瑞星查一下试试（如图18），结果当然不言而喻……

3.）修改特征码 
虽然到这我们免杀已经成功，但是为了学到更多的技术，为了让我们免杀的鸽子存活的更久，下面我在为大家介绍一下特征码的查找与修改技巧。 
特征码是杀毒软件的心脏，但同样也是我们的心脏！就看谁先找到对方地心脏，并能发出致命一击，谁就是胜利者！ 
一提到查找特征码，就不得不说说MyCCL与CCL，这两个软件的名字相信留心过免杀技术的朋友不会陌生，但由于软件操作的傻瓜化，很多时候对于CCL的介绍只是一带而过，这可苦了入门的朋友！ 
这一小节我就先介绍一下MyCCL的用法…… 
我们先来认识一下MyCCL（如图19），根据这张图我们下面就来大体介绍一下MyCCL的应用方法。首先点击第1处选择文件，然后在第2处输入分块个数，分块个数越多，定位越精确，然而生成的速度同时也就越慢，生成的文件总体积也就越大，就象灰鸽子这么大的服务端，如果分块数为300的话，那么它生成文件的总体积将超过230M！所以在这里不建议填写太大的数字，一般象灰鸽子这样的服务端分块数填400个就足够了。生成完毕后会弹出个对话框提醒你去相应目录杀毒，图中所示为“E:\文章\极度免杀\鸽子\OUTPUT”文件夹，我们到那个文件夹下开始杀毒，查到病毒就让杀毒软件将其彻底删除，注意，这一点很重要！处理完毕后点击第3处的二次处理，在点击[生成]上面的[特征区间]按钮即可出现右面的对话框。 

下面我们在“区间设定”里右键单击特征码区间，在弹出的菜单中选择“复合精确定位此处特征”（如图20），然后重复上面的操作，直到你认为[单位长度]已经小到很方便更改的时候，特征码的定位就算结束了。 

好了，一口气说了这么多，不知道刚入门的朋友是否懂得一些MyCCL的用法了没有…… 
但是上面我们定位的是文件特征码，还有内存特征码没有定义，这里我们要用到CCL的内存特征码定位功能，打开CCL后，我们依次选择[文件]→[特征码验测]→[内存特征码]（如图21）。 

在弹出的对话框中选择我们要进行免杀操作的木马，然后会进入“定位范围选择窗口”（如图22）。 

由图中可知，第一个CODE段的偏移量为00000400，也就是说我们可以用00000400做为起始位置，那么我么就在用户输入区的“起始位置”处填写00000400，下面的那个验测大小怎么填写呢？看到图22中画线的那个“当前文件大小”了吗？我们可以用WINDOWS系统自带的计算器进行计算，把计算器的“查看”菜单设置为科学型、十六进制、四字（如图23）。 

然后用当前文件大小的值减去起始值00000400，得到的结果为000B9A00，那么我们就在“验测大小”后填上000B9A00，然后点击“填加区段”按钮（如图24）。 

最后点击确定，在新弹出的对话框中点击运行，不过需要注意的是，在进行此步操作时一定要打开杀毒软件的所有功能。下面你要做的就是等待…… 
然而光找特征码是不够的，我们还得学会怎样更改，而关于特征码地更改是非常有学问的！这里为了方便广大读者能学以致用，在此我只介绍部分理论知识，着重介绍实践操作，但是我想请大家注意，免杀的方法象你做完免杀的木马一样，都有生存时间，而过了这个时间，这种免杀方法就变的不在实用，或者免杀效果大打折扣！所以要想真正成为免杀高手，还的打牢基本功，不断创造出新的免杀方法，因为我们是在与杀毒软件厂商的专业技术人员“斗法”啊！ 

关于需要注意的问题就先讲的这，下面我带大家先来了解一下目前更改特征码的办法。

1. 大小写替换（只适用于文件免杀） 
适 用 于：出现可识别的英文字母或词组，并且确定其不是相关函数（如输入表函数）。 
操作方法：如咱们“实战演习”的第一节讲的一样，只须将大小写替换一下就可以了，例如特征码中出现了A，你只要将其替换为a即可。 
原 理：利用WINDOWS系统对大小写不敏感，而杀毒软件却对大小写非常敏感这一特性达到免杀目的。 

2.用00填充 
适 用 于：几乎任何情况，但成功率不是非常高。 
操作方法：例如我们找到了一处特征码0009EE7F_00000005，那么根据这段特征码信息我们可以知道它的位置在0009EE7F，大小为5个字节，也就是0009EE7F-0009EE83这一段内容（如图25）。 

一直跟着文章实践操作的朋友肯定有疑问，你是怎么找到那个地址的呢？而我怎么找不到呢？那是因为WinHex的默认偏移量为decimal模式，我们单击Offset栏将其改为16进制模式即可（如图26）。 


然后我们有选择的一处处地用00填充（如图27）。 

记住要多试几次，80%的情况下你都能找到一处既能免杀又不影响程序正常运行的区域。对于定义出的内存特征码，只要将其内存地址用一个叫做《便宜量转换器》的小程序转换成16进制偏移量，然后在进行相应操作即可。 
原 理：由于PE文件的特殊格式以及程序编译语言等问题，使得生成目标代码的效率并不高，难免出现一些“垃圾信息”，而这些信息存在与否对与程序是否能正常运行并不起决定性的作用，而当木马的这部分“垃圾信息”被定义为特征码时，我们完全可以将其删除，而删除的方法就是用无任何意义的00将其替换。 

3.跳到空白区域 
适 用 于：几乎任何情况，成功率比较高。 
操作方法：还是以特征码0009EE7F_00000005为例子，假如我们使用00填充的方法失败了那么不要多想，接下来马上试试OllyDbg，关于OllyDbg我就不多介绍了，它是非常棒而且非常专业的一个动态反汇编/调试工具，这里我们只用它来帮助我们进行免杀作业，首先应该做的就是将我们的16进制偏移量0009EE7F转换为内存地址，因为OllyDbg的工作原理是先将程序释放到内存空间里，然后才能进行相关作业…这里要用到的是一个叫做《便宜量转换器》的小程序，我们用其转换完毕后得到的内存地址为0049FA7F（如图28）。 

下面我们用OllyDbg打开我们的木马服务端，首先找到一处空白区，并域记下这的地址004A24A5，然后找到我们刚转换过来的地址0049FA7F，先将以0049FA7F开始以下的这三行数据选定，然后单击右键选则[复制]→[到接剪贴板]（如图29）。 

将其复制到本文文档里备用，然后在将这三行代码一一NOP掉（如图30）。 

最后右键点击0049FA7F，在弹出的对话框中选择汇编，并写入“jmp 004A24A5”这条汇编指令（如图31）。 

记住，在点击[汇编]按钮之前一定先把“使用 NOP 填充”前面的勾去掉。然后我们记下汇编后0049FA7F的下面那个地址0049FA84（仔细观察图31）。好，下面我们回到004A24A5这处刚才找到的空白地址（如图32）。 

然后用刚才汇编的方法把在本文文档里备用的信息一句句地汇编进去，然后在将最后一句代码的下一行004A24AA处加入“jmp 0049FA84”这行代码（如图33）。 

然后单击右键→[复制到可执行文件]→[所有修改]（如图34）。 

在弹出的对话框中选择“全部复制”然后保存即可。而对于内存免杀就省去了内存地址转换这一步了。 
原 理：大家先看图35，由图中可知，正象此方法的名字“跳到空白区域”一样，这种方法的原理就是将原本含有特征码的信息转移到空白区域，并把原先位置的信息全部NOP掉，并在那里加一个跳转指令，让其跳到004A24A5处，也就是我们找到的空白区域，并把原来在0049FA84的信息移到这里，加完信息后在加一条指令让其在跳回去，以使程序连贯起来。

4.上下互换 
适 用 于：几乎任何情况，成功率比较高。 
操作方法：先用OllyDbg载入木马程序，假定其特征码为0009EE7F_00000005，我们还是先用《偏移量转换器》将其转换为内存地址，上面我们已经知道0009EE7F对应的内存地址为0049FA7F，然后在OllyDbg中找到相应位置，利用上面“跳到空白区域”里介绍的修改方法将0049FA7F上下两句代码调换位置即可。而对于内存免杀就省去了内存地址转换这一步了。 
原 理：杀毒软件的特征码定位是严格按照相关偏移量于内存地址进行的，而其实我们的应用程序中的机器码执行顺序的先后在一般情况下是没有死规定的，所以我们只需将其上下互换，杀毒软件自然就不认识了。 

5.ADD与SUB 互换 
适 用 于：在内存特征码中出现ADD或 SUB指令的，成功率比较高。 
操作方法：用OllyDbg载入木马程序，假定其特征码所对应的地址中有ADD或SUB指令，例如00018A88：XXXXX 00000088 ADD ECX 10000000 
我们可以将ADD ECX 10000000这段机器码改为SUB ECX F0000000， 
更改完毕后保存为EXE文件即可。 
原 理：我们都知道1+1=2，我们也知道1-（-1）=2，上面就是利用了这个原理，其中ADD指令的就是加意思，而SUB则是减的意思。虽然被我们互换了一下，但是最终结果还是一样的，可是换完之后杀毒软件就不认识了。 

到这里，关于特征码的查找与修改就讲完了

4.）其他免杀方法 
改文件头： 
这里所说的改文件头包括加头去头，文件加花。关于加头去头，我们还是用OllyDbg。用OllyDbg载入后，OllyDbg会自动停在入口点（如图36）。 

我们将头三行机器码复制保存起来，然后找到空白区域，用汇编的方法一一将其写入（如图37）。 

然后在后面写入一条JMP指令，让其跳到初始入口点的第四行，相信一直仔细看本文的朋友一定明白其原理，如果忘了的话可以看上面修改特征码的第三种方法，原理与这差不多，修改完毕后如下所示： 
004A2A73 0000 add byte ptr ds:[eax],al 
004A2A75 0000 add byte ptr ds:[eax],al 
004A2A77 55 push ebp 
004A2A78 8BEC mov ebp,esp 
004A2A7A B9 04000000 mov ecx,4 
004A2A7F ^ E9 CCF3FFFF jmp Server.004A1E50 
004A2A84 0000 add byte ptr ds:[eax],al 
004A2A86 0000 add byte ptr ds:[eax],al 
004A2A88 0000 add byte ptr ds:[eax],al 
上面的add byte ptr ds:[eax],al就是所谓的空白区域，我们看到改完后的头文件位于004A2A77，所以我们还要用PEditor改一下入口点，打开PEditor后载入文件，将入口点处的地址改为我们的新文件头地址004A2A77（如图38），保存后即可。 


入口点加1： 
打开PEditor后载入文件，将原来的入口点+1即可，例如我们的入口点为004A2A77，加1后应该是004A2A78（如图39），然后点击“应用更改”即可完成更改。 

用这种简便的免杀方法即可以轻松的对付大部分杀毒软件。 

用Vmportect加密： 
Vmportect是新一代的软件保护程序，利用虚拟机保护代码，可以对指定的部分区段进行加密，能让被保护的程序复杂化，最开始他被用于PcShare里的SYS文件免杀，效果值得称道！其实对于普通文件他照样发挥的比较出色！下面我们就用他来加密我们的那个存在特征码以0049FA7F开始的区段。打开Vmportect后载入程序，在“转储”选项卡下的任意地方单击由键，在弹出的菜单中选择“前往地址”（如图40）。 

然后在弹出的对话框中填入0049FA7F，点击“是”按钮即可跳到相应位置，然后点击“添加地址”按钮（如图41）。 

并选则是即可，最后点击“编辑”按钮即可对以0049FA7F开头的区段进行加密（如图42）。 


移动PE段的位置： 
关于这种方法，可是绝学！今天借此机会贡献给各位朋友，希望此方法能在你免杀时助你一臂之力！那么修改PE段究竟能起到什么作用呢？首先当然可以达到长期免杀的目的，其次可以保护我们的免杀文件，其他人无法学走我们的免杀方法（A1Pass：要想真正达到这个目的，除此之外你还不能让别人看到这篇文章，所以这期的X档案赶紧全包了吧！呵呵！）。为什么呢？因为一些反汇编工具无法载入经过修改PE文件头的程序。 
我们先来看看PE段，怎么看？先用WinHex载入我们的木马（如图43）。 

看到图中PE那两个字了吗？这两个字的P所在位置就是PE段的入口点，我这里是00000100。我们在仔细看看图43，看看PE下一行的第一个16进制是不是E0？好，下面我们用WINDOWS系统自带的计算器计算一下，得到16进制的E0就是十进制的224。这是什么意思呢？它代表的就是PE段的大小，在WinHex中一行能显示16个字符，224个字符正好是14行，我们将这14行内容复制保存起来，并记住PE段的末尾地址，我这里是000001EF，最后将这个PE段用0填充（如图44）。 

最后将我们事先保存的PE段上移，但注意不要超过“This program must be run under Win32”这段内容。由于PE段的上移，其体积必然也就随之增大，而从我们现在PE段所处的00000080到000001EF，总共是368个字节，换成16进制为170，全部更改完毕后如图45所示。 


针对瑞星： 
先用OllyDbg载入文件，只要将其第一条机器码push ebp改为pop ebp即可躲过瑞星的内存杀毒。 

加壳压缩： 
加壳是菜鸟的专利，虽然操作简便，但是免杀效果与“报质期”都不尽人意，但是做完免杀后在加个压缩壳还是很有必要的。 


病毒是在，你不惹他的时候，他还会来找你~~~~~~~~~~
可恶~~~~~~~~~~~~~~~~~~~~~

请加我QQ. 有要事请教..736564146