c32asm

2023年4月3日发(作者：惠普一体机)大家好！ 我是“唐山味儿不浓” QQ：38458699



其他视频：/v1/group?g=0bc71500 (黑客爱好者吧)



今天是：2008-05-15 四川汶川7.8级地震已过三天，愿四川受难的朋友们早日脱离苦海，也愿全中国人伸出援助之手，大力支援四川，尤其是唐山人更要献出自己一份力！哪怕捐献1元钱！



教程名称：

特征码定位免杀之MYCCL、C32asm、OD的应用 （教程中附带相关工具，除OD外，为做试验用的病毒样本）



免杀对象：灰鸽子服务端木马 目标：过卡巴 本次免杀方法介绍：2种



所需工具：



特征码定位器、偏移量转换器、C32asm静态反汇编、(简称OD动态反汇编)、杀毒软件。



简介：

本教程主要讲解如何用MYCCL定位病毒特征码，及改写之达到免杀目的。众所周知，修改特征码过杀软是终极方法，也是相对麻烦的，本次教程以最简单的实例来讲述修改特征码过卡巴的方法，大家要学会举一反三；



推存几个做免杀的在线杀毒网站：

1） / 速度比较快，杀软少些

2） /zh-cn/ 速度慢，杀软较多

3） / 速度适中，杀软较多



先介绍一下免杀相关：



杀毒软件杀毒的特点



1.文件查杀有代表性的杀软： 卡巴.NOD32.

2.内存查杀有代表性的杀软： 瑞星.

3.行为查杀有代表性的杀软： 安全卫士360.

4.新型的数据流查杀方式： 金山

5.启发式查杀及主动防御查杀： 卡巴7.0. NOD32.



免杀的原理：



1.修改入口点.或直接入口点加1

2.加壳加花伪装

3.修改特征码





开始实施免杀过程：



1、配置好鸽子服务端，不要用UPX压缩，生成木马文件; 试验是否能成功上线，是否被杀。



2、运行,单击“文件”载入刚才生成的木马文件，“目录”可不用改



3、成功载入后，可看见“PE文件 节表信”，病毒特征码一般在CODE代码范文内，再把“起始位置”“物理长度”下的CODE 代码 复制到MyCCL的“开始位置”和“分段长度”中。



4、设置好“分块数量”点击“生成”

技巧：

分块数量即生成文件数量，最初即先设置较小的数如20，来确定病毒特征码的大范围，第二次或更多次，再把范围缩小，但最好不要太大（100以内）；主要还是多练习，取决于经验！



5、用这对所做免杀的杀毒软件开始查杀，杀完后，点击“二次处理”，再次用杀软查杀，直至未发现病毒为止。



6、点击“特征区间” 右键点击 特征码处，选择 “复合定位此处特征”，填写“分块数量”再次重复以上4、5、6步骤 ，直至定位到特征码分段长度小于2为止（

显示为XXXXXXXX_00000002）



7、记下特征码地址,然后运行“”,查询特征码对应的内存地址



特征码t 十六进制数据t内存地址

00006F59_00000002 08 00 t 00407B59



8、开始实施免杀：

第1种相当简单； 用C32Asm修改特征码对应的十六进制数据 原来为 08 00 改为00 00 即可，看我操作。

先复制个副本。修改完后开是否已经免杀，及能否上线



第2种稍复杂；用OD来反汇编，修改特征码处的汇编代码，方法有很多，需要根据经验随机应变。



常用方法有：

1）用通用跳转法； 把特征码改跳到其他位置

2）移位调换法； 如果是跳转或者call或者mov同时存在，可以尝试交换

3）nop移位法；

4）大小写修改法 ；

4）指令替换法； add ecx,1改sub ecx,-1; push eax改pop eax；sbb—adc; je 004XXXXX改jnz 004XXXXX；

5）强制NOP填充； 强制把特征码地址处用00 填充，但极大可能造成致命错误



其他方法：t

add eax,410000改add eax,410001

call或jmp 004XXXXX可以追踪到004XXXXX查看代码，是否有十六进制00可以改CALL或JMP地址等等







再这咱们用用通用跳转法，把特征码位置更换



通用跳转法----即找到特征码所在地址，把特征码地址NOP（空指令）掉，然后JMP（无条件跳转）跳转到无用的空数据代码地址处，再空数据区填上刚才NOP掉的语句。



说不太明白，还是看我操作吧！



先找定位到特征码地址，再向下查找未用区间如大范围的0000、或nop 等



技巧：

JMP 到指定地址时，要去掉原地址的“short 文件名.” 否则会出现错误提示；下载ASMfun（用来查看汇编代码作用）



以下是特征码地址附近代码

00407B56 /0F87 94080000 JA help.004083F0

00407B5C > |8BC3 MOV EAX,EBX

00407B5E （跳回地址）







以下是空地址范围处代码

00412BFD （跳入地址）







保存改变，生成新文件，试验能否被杀及上线



注：

对于咱们汇编知识不是很好的菜鸟来说，每次操作改写生成文件后，都要试验能否正常运行及上线。千万不要一气呵成，造成白浪费功夫，尤其是修改过瑞星的特征码，其特征码不止一个。





重要提示：



1）修改完主要杀软特征码后（如瑞星），再结合菜鸟免杀之加花加密壳方法，可以达到登峰造极的境界！



2）最好少用在线查毒测试免杀，本人分析或者说是怀疑，杀软公司可能和在线查毒网站有勾结；如你扫描的病毒样本有30%的认为是病毒，但瑞星没有查出，是不是有可能杀毒网站给瑞星提供病毒样本，定期索要样本费。呵呵！纯属个人猜测！





教程到此结束！



再见！！