论文部分内容阅读
前几期介绍了远控中的带头大哥——DGRAT的设置方法,由于DGRAT木马的推出已经有一段时间了,所以现在自然不能逃过杀毒软件的查杀。今天我们就来对DGRAT进行一番简单快速的免杀,操作使用的方法也是最简单最传统的特征码修改法。
point A特征码的检测
在DG目录中的Dala文件夹下,Loader,Exe和server Dll两个文件,这就是生成服务端的文件信息。我们可以对这两个文件进行免杀后,再来配置生成对应的服务端程序。也可以先创建服务端程序,自来进行各种免杀等操作。首先我们来定位文件的特征码。
运行MYCCL后点击“文件”按钮来选择Loader.Exe,这里不要选择“带后缀”选项。接着在“分块个数”选项中设置分块的个数,我们这里就设置为10。设置完成后点击“生成”按钮,就能在目录中生成相应的程序分块。现在启动金山毒霸对分块目录进行查杀,当杀毒软件检测到病毒文件后,就将其进行删除处理。
接着返回到MYCCL的主界面,点击“二次处理”按钮后,MYCCL会提示找到一处特征码,我们直接点击“是”按钮继续即可。接着再用杀毒软件对分块目录进行查杀,查杀完成后再次点击“二次处理”按钮。这样就可以获得一个较大的特征码范围。接下来我们重复上面的操作,来缩小特征码的范围,最后得到Loader.Exe和SerVer.Dll文件特征码的精确地址为00001000_000D0003和0000F632_00000002(如图1)。”
point B模块文件免杀
首先运行十六进制工具C32Asm,点击“文件”菜单的“打开十六进制文件”。选择Data文件夹中的Loader.Exe文件。接着在窗口中单击右键菜单中的“跳转”命令,在弹出窗口的“OFFSET”中设置为“00000100”,并选择“文件开始”这一项(如图2)。这样程序将自动跳转到特征码的位置。Loeder.Exe文件的特征码修改非常简单,找到以后点击右键选择“填充”命令,然后选中“使用十六进制填充”并中输入“00”进行填充就可以了(如图3)。
接着按照同样的方法打开Server Dll文件,通过右键的“跳转”命令找到特征码的位置。这里就不能用OO直接进行填充操作了,因为这样操作以后服务端程序无法上线。现在在特征码的位置点击右键中的“对应汇编模式编辑”命令,这样就跳转到程序的汇编窗口。当我们跳转到汇编窗口以后,还可以看见特征码的代码,但是当移动滚动条向上以后就看不见了。既然特征码的位置是0000F632,那么它一定就位于0040F62F和0040F634之间。
现在我们利用跳转法,将包括特征码在内的几句代码复制下来。然后在代码0040F62F的原位置处。单击右键中的“汇编”命令,在弹出的窗口输入NOP进行填充。这时我们可以看到,刚刚隐藏的特征码0000F632已经被填充掉。现在选择0040F630这句代码,单击右键中的“汇编”命令,在弹出的窗口输入jmp 0040F64A进行调整(如图4)。然后在0040F64A这个位置上,通过汇编窗口依次写入复制下来的代码,即CALL00404388。然后再加上一句跳转命令,使其跳转到0040F634这个代码的原位置上,这样就可以保证程序的顺利运行(如图5)。
point C主体文件免杀
如果要直接对生成的服务端进行修改的话,最好的方法依然是修改特征码。通过定位我们得到程序特征码的位置为00000100_00000002,用C32Asm载入生成的服务端程序。结果发现特征码位于文件的PE头位置,当我使用了多种方法更改PE头以后,结果不是被金山所查杀,就是服务端运行出现错误。
于是我还是选择了最常见的免杀方法——加花指令。运行最新版本的“超级加花器1.8”,这是笔者最喜欢的一款加花工具。因为该工具是为数不多的会进行更新的。将服务端文件直接拖动到程序的主界面进行释放,选择“指定区段名”选项后进行自定义设置,这样可以避免固定的区段名被判断查杀。然后在“花指令”下拉列表中选择一种花指令,单击“加花”按钮就可以了(如图6)。
为了让服务端生存的时间较长,最好再对添加的花指令进行修改。通过OllyDBG载入加花的文件,程序自动就停留在添加的这段花指令面前。这里我们准备替换“mov esi,dword ptr[esp+24]”和“mov edi。dword ptr[esp+28]”两句代码。选择这两句汇编代码后点击右键菜单中的“汇编”命令,在“汇编”窗口用“rnovesl,dword ptr[esp+52]”替换以前的一句代码,然后NOP掉另外一句其中的代码即可(如图7)。程序修改完成后选择刚刚修改的内容以后,点击右键菜单中的“复制到可执行文件”,接着在它的子菜单中选择“选择”命令,然后程序会弹出一个新的修改窗口。同样在新窗口中点击鼠标右键,选择其中的“保存文件”命令在弹出的窗口,对刚刚修改的文件进行保存即可。
服务端文件修改完成以后,运行加壳程序Cryptable Seduction。运行后点击“Browse”按钮,选择需要加壳的服务端文件。我之所以选择这个加壳程序,是因为它有一些反调试功能,根据自己的需要选择旁边的“反沙盘模式”、“反虚拟机”、“过卡巴”等信息,但是最好不要选择“反任务栏管理器”,因为这可能会引起用户的怀疑。如果需要的话,还可以设置一个错误信息,这样可以更好的来迷惑用户的眼睛。最后点击窗口中的“Crypt”按钮,就可以完成加壳操作(如图8)。
总结
今天通过两种方法对DGRAT进行了免杀操作的介绍,至于大家要选择哪一种就根据自己来选择,不过笔者还是比较偏向于对母体文件进行免杀。虽然DGRAT没有利用驱动文件来绕过主动防御,但是通过修改系统自带的服务依然可以突破主动防御,因此我们不需要再对主动防御方面进行免杀考虑。
point A特征码的检测
在DG目录中的Dala文件夹下,Loader,Exe和server Dll两个文件,这就是生成服务端的文件信息。我们可以对这两个文件进行免杀后,再来配置生成对应的服务端程序。也可以先创建服务端程序,自来进行各种免杀等操作。首先我们来定位文件的特征码。
运行MYCCL后点击“文件”按钮来选择Loader.Exe,这里不要选择“带后缀”选项。接着在“分块个数”选项中设置分块的个数,我们这里就设置为10。设置完成后点击“生成”按钮,就能在目录中生成相应的程序分块。现在启动金山毒霸对分块目录进行查杀,当杀毒软件检测到病毒文件后,就将其进行删除处理。
接着返回到MYCCL的主界面,点击“二次处理”按钮后,MYCCL会提示找到一处特征码,我们直接点击“是”按钮继续即可。接着再用杀毒软件对分块目录进行查杀,查杀完成后再次点击“二次处理”按钮。这样就可以获得一个较大的特征码范围。接下来我们重复上面的操作,来缩小特征码的范围,最后得到Loader.Exe和SerVer.Dll文件特征码的精确地址为00001000_000D0003和0000F632_00000002(如图1)。”
point B模块文件免杀
首先运行十六进制工具C32Asm,点击“文件”菜单的“打开十六进制文件”。选择Data文件夹中的Loader.Exe文件。接着在窗口中单击右键菜单中的“跳转”命令,在弹出窗口的“OFFSET”中设置为“00000100”,并选择“文件开始”这一项(如图2)。这样程序将自动跳转到特征码的位置。Loeder.Exe文件的特征码修改非常简单,找到以后点击右键选择“填充”命令,然后选中“使用十六进制填充”并中输入“00”进行填充就可以了(如图3)。
接着按照同样的方法打开Server Dll文件,通过右键的“跳转”命令找到特征码的位置。这里就不能用OO直接进行填充操作了,因为这样操作以后服务端程序无法上线。现在在特征码的位置点击右键中的“对应汇编模式编辑”命令,这样就跳转到程序的汇编窗口。当我们跳转到汇编窗口以后,还可以看见特征码的代码,但是当移动滚动条向上以后就看不见了。既然特征码的位置是0000F632,那么它一定就位于0040F62F和0040F634之间。
现在我们利用跳转法,将包括特征码在内的几句代码复制下来。然后在代码0040F62F的原位置处。单击右键中的“汇编”命令,在弹出的窗口输入NOP进行填充。这时我们可以看到,刚刚隐藏的特征码0000F632已经被填充掉。现在选择0040F630这句代码,单击右键中的“汇编”命令,在弹出的窗口输入jmp 0040F64A进行调整(如图4)。然后在0040F64A这个位置上,通过汇编窗口依次写入复制下来的代码,即CALL00404388。然后再加上一句跳转命令,使其跳转到0040F634这个代码的原位置上,这样就可以保证程序的顺利运行(如图5)。
point C主体文件免杀
如果要直接对生成的服务端进行修改的话,最好的方法依然是修改特征码。通过定位我们得到程序特征码的位置为00000100_00000002,用C32Asm载入生成的服务端程序。结果发现特征码位于文件的PE头位置,当我使用了多种方法更改PE头以后,结果不是被金山所查杀,就是服务端运行出现错误。
于是我还是选择了最常见的免杀方法——加花指令。运行最新版本的“超级加花器1.8”,这是笔者最喜欢的一款加花工具。因为该工具是为数不多的会进行更新的。将服务端文件直接拖动到程序的主界面进行释放,选择“指定区段名”选项后进行自定义设置,这样可以避免固定的区段名被判断查杀。然后在“花指令”下拉列表中选择一种花指令,单击“加花”按钮就可以了(如图6)。
为了让服务端生存的时间较长,最好再对添加的花指令进行修改。通过OllyDBG载入加花的文件,程序自动就停留在添加的这段花指令面前。这里我们准备替换“mov esi,dword ptr[esp+24]”和“mov edi。dword ptr[esp+28]”两句代码。选择这两句汇编代码后点击右键菜单中的“汇编”命令,在“汇编”窗口用“rnovesl,dword ptr[esp+52]”替换以前的一句代码,然后NOP掉另外一句其中的代码即可(如图7)。程序修改完成后选择刚刚修改的内容以后,点击右键菜单中的“复制到可执行文件”,接着在它的子菜单中选择“选择”命令,然后程序会弹出一个新的修改窗口。同样在新窗口中点击鼠标右键,选择其中的“保存文件”命令在弹出的窗口,对刚刚修改的文件进行保存即可。
服务端文件修改完成以后,运行加壳程序Cryptable Seduction。运行后点击“Browse”按钮,选择需要加壳的服务端文件。我之所以选择这个加壳程序,是因为它有一些反调试功能,根据自己的需要选择旁边的“反沙盘模式”、“反虚拟机”、“过卡巴”等信息,但是最好不要选择“反任务栏管理器”,因为这可能会引起用户的怀疑。如果需要的话,还可以设置一个错误信息,这样可以更好的来迷惑用户的眼睛。最后点击窗口中的“Crypt”按钮,就可以完成加壳操作(如图8)。
总结
今天通过两种方法对DGRAT进行了免杀操作的介绍,至于大家要选择哪一种就根据自己来选择,不过笔者还是比较偏向于对母体文件进行免杀。虽然DGRAT没有利用驱动文件来绕过主动防御,但是通过修改系统自带的服务依然可以突破主动防御,因此我们不需要再对主动防御方面进行免杀考虑。