木马免杀博客【免杀木马的制作与防范】

　　木马相信很多人都知道，而木马的确比常规病毒更狠，监控你的操作，吞噬你的隐私，破坏你的数据。有人要问，为什么我们的计算机安装了最新的杀毒软件，每天进行各种补丁的更新升级，还有防火墙的时时保护，为什么还会中木马呢？那是因为，有一种木马叫免杀。
　　
　　一、什么是免杀？
　　
　　免杀是个相对词，针对目前的技术而言，多数木马都不能避免会被杀毒软件监控到并杀掉的危险，于是木马的实用性就低很多。为了能避开杀毒软件的识别，黑客们开始从木马下手，通过各种手段“重新包装”木马，让它在杀毒软件的眼皮底下蒙混过关，这就是所谓的免杀。
　　
　　二、制作免杀木马
　　
　　下面我们来看看黑客们是通过何种方法制作完成免杀木马的：
　　我们首先制作一个普通的灰鸽子木马服务端取名mmsetup.exe，然后登录https://www.省略/zh-cn/网站把mmsetup.exe灰鸽子木马服务端上传过去，通过多引擎系统中扫描，你可以发现，绝大多数的杀毒引擎都能够识别出该木马程序，木马成功率只有10%简直可以忽略了，木马也就没意义了！（如图1）
　　同时，针对这个mmsetup.exe我们对它进行免杀设置，一般常用的免杀方法为加密代码、花指令、加壳、修改程序入口以及手工DIY PE，至于纯手工操作并不推荐，因为这种方法制作出的程序效果虽好，但太过复杂，需要很强的汇编语言基础，并对Windows内核有一定认识。
　　1、代码修改法
　　MaskPE内含多种信息模块，可以方便的修改程序指令，打乱源代码，针对利用代码识别病毒的安全软件很有效果。
　　下载Maskpe2.0运行起来，点击“LoadFile”按钮，通过路径选择桌面上的mmsetup.exe木马，然后在“Select Information”项里选择“PE Information”项，接着点击“Make File”在新生成的木马名字里填上“mmsetup1.exe”，最后单击“保存”按钮完成木马修改。（如图2）
　　接下来把这个修改过的mmsetup1.exe在本机上测试运行并查看黑鸽子服务端是否能正常连接，我们发木马能正常运行并启用。最后把这个免杀木马发到https://www.省略/zh-cn网站测试免杀效果，发现明显要比没做免杀前效果好很多，这样就增大了木马的运行成功率！
　　2、花指令添加法
　　花指令就是一些汇编指令，原本用在Crack中，但目前更多的引入到木马修改上。这种方法使得杀毒软件不能正常的判断病毒文件的构造，对于采用文件头提取特征码的杀毒软件有特殊的杀伤力。
　　从网上下载一款加花器，然后运行加花器并点击“open go”按钮，从路径中选择刚才新生成的mmsetup1.exe木马，最后单击“加花”按钮，软件会提示你加花成功，确定后你的mmsetup.exe便被加过花了。（如图3）
　　3、加壳法
　　其实目前的加壳对于很多杀毒软件的防范用处并不大，不仅仅是由于杀毒软件自身识壳能力增强，更多的是加壳后对木马本身的伤害很大，尤其是有些木马的服务端默认已经作过加壳操作，如果进行二次加壳，很有可能造成程序启动异常，所以我们在选择加壳软件对木马进行加壳后，一定要在自己的机器上测试木马是否能正常运行再确定是否使用。
　　流行的方法可以选择一些非常规壳：比如NsPack或者PESpin v1.3.exe，下面我们采用PESpin v1.3.exe对木马服务端进行处理。打开PESpin，单击“打开文件”按钮，选择自己的木马mmsetup1.exe，然后在PESpin中单击“设置”选项卡，把“保护选项”和“高级选项”中的内容全部勾选上，然后把“创建备份文件”也勾选上，这样是为了防止加壳过重引起木马失效而做的准备。最后单击“pe spin”选项卡，单击“保护文件”即可完成加壳。（如图4）
　　4、入口点修改法
　　最后修改程序入口点，它的目的和加壳相似，就是让杀毒软件无法从黑客程序的入口点来获取源代码。修改方式可以使用FEPB、Ollydbg或者PEditor等，载入程序后找到“入口点”信息，接着在原来的数值的基础上加上个整数值后保存。打开“FEPB”软件，单击“Target…”然后选择要修改的木马mmsetup1.exe，然后选择“Break In”按钮，此时会弹出一个窗口寻问是否确认这步操作，单击“确定”完成修改。（如图5）
　　做到这里，我们的木马经过四层免杀设置基本上已经完成了免杀过程，接下来把它再次送进VirusTotal网扫描，你发现能识别为病毒的杀毒引擎已经不多了，免杀的目的就达到了。
　　
　　三、免杀木马的防范：
　　
　　免杀木马固然厉害，能骗过一些杀毒软件的眼睛。那如何防范免杀木马呢：
　　1、对于防范免杀木马的最好办法就是安装主动型防御软件。
　　2、使用Ewido防木马软件，对未知的程序进行查杀，它能查出很多免杀木马，威力惊人，但仅针对木马查杀能力强，其它方面不推荐。
　　3、“无忧捆绑文件探测器”，从网上下载程序之后很多程序捆绑了免杀木马，用它打开下载的程序可以检测出该程序是否被捆绑木马，若发现捆绑了直接删除即可。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文