网马(原理)及制作全过程
转自:http://blog.hacksafe.org/article.asp?id=62
一:首先认识网络上的各版本网马
首先认识 MS-06014 MS-06040 MS-06042
那么,网络上的大部分最新的网马生成器,也就是利用这些漏洞来制作网马的
其实,网马他很简单,我们从原理来学习他。
别看网络上的网马生成器,非常的多,其实,都是一个模式出来的。
就像QQ木马一样,都是一个源代码弄出来的
二:认识网马代码
那么,8月份的MS-06014漏洞
现在网络上的大部分稳定的网马生成器,也就是延用这个漏洞。
他的网马生成器所生成的原装网马代码的是最早的占有者等。
这里,我们查看 MS06014 中华网络 所生成的网马
这个就是原装的代码,
那么,我们通过比对,就能知道,网络上的这些个天花乱坠的网马生成器原形
三:通过对比,我们来学习,如何来制作免杀的网马
首先,我们查看和对比,最新的免杀网马所生成的网马与原装代码不同之处
通过学习,了解,这些其貌不一的网马到底是如何各自不同的制作各自的免杀
(我们主要学习,最新的MS-06014网马,因为现在网络上大部分稳定的网马生成器都是由他变异而来)
四:举列子
首先,我们查看 MS-06014 代码中可以用来制作免杀的变量
"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
"object"
"classid"
"Microsoft.XMLHTTP"
"GET"
"s cripting.FileSystemObject"
"Shell.Application"
首先,我们拿 "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" 举列
然后到,免杀网马中,找到经过免杀处理后的这一句,我们就能知道,大家是如何通过变形这句代码
达到免杀的
列一:蓝防收费版变异代码
j1="clsid:"
j2="BD96C556-"
j3="65A3-"
j4="11D0-"
j5="983A-"
j6="00C04FC29E36"
j7=j1&j2&j3&j4&j5&j6
然后在网马代码中的 "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" 里面的
clsid:BD96C556-65A3-11D0-983A-00C04FC29E36 替换成 j7
也就是"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"="j7"
具体我们可以查看最新的蓝防免杀网马
列二:老丁内部网马变异代码
U1="c"
Bs="l"
Bg="s"
UN="i"
Io="d"
Ul=":"
Y3="BD"
Os="96"
I2="C5"
I8="56-"
J3="65"
ob="A3-"
P4="11"
sy="D0-"
Q5="98"
U0="3A-"
E6="00C"
Ug="04F"
Xn="C29"
Ij="E36"
M7=u1&Bs&Bg&un&io&ul&Y3&Os&i2&i8&j3&ob&p4&sy&q5&u0&e6&Ug&xn&Ij
变异的无所谓不短哈~
还是一样,
经过这样变异后
"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"="j7"
列三:NCPH变异代码
c1 ="clsid:BD"
c2="96C556-65A3-11"
c3="D0-983A-00C04F"
c4="C29E36"
大家看到这句,HOHO~他并没有 在尾部升明 a1=b1&b2....这样的形式,他的变异是缺少了吗?
其实他不升明,只需要在原装代码中的
"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"替换成 "c1+c2+c3+c4"
--------------------------------------------------------------------------------------------------------------------------------------
二 实践操作
变异"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
拥有属于自己的个性免杀
如果你仔细的看了上面的列子,结合你的思考,通过你的学习
你应该懂得呢,如何去变异这些代码,
如果我们学会,以后不管什么漏洞,不管什么代码,原理掌握了,我们顺手就能免杀
那么我呢,就举列变异一次
弄个简单的,@-@
首先
在代码中升明,恩,告诉系统,我们已经把某某代码,替换成某某代码了,别读写错误拉`
也就是 "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
zhonghua1="clsid"
zhonghua2="BD96C556"
zhonghua3="-65A3"
zhonghua4="-11D0"
zhonghua5="-983A"
zhonghua6="-"
zhonghua7="00C04FC29E36"
zhonghuahk1=zhonghua1&zhonghua2&zhonghua3&zhonghua4&zhonghua5&zhonghua6&zhonghua7
貌似分离大法,~-~HOHO,把机器人的手脚分开,等你检查我不是机器人后,偶再组合起来
好拉,不多举列拉,再举教程就太大拉~-`
三:生成属于自己的免杀网马
这里,我们来招卑鄙的
在别人网马变异过后的基础上,我替换掉一句,然后,生成~HOHO~~
这样,完美的属于自己的网马就不小心弄好拉~
这里我们使用 蓝防收费版免杀网马 使用MS-06014漏洞变异网马
(这网马人家可是说提高中率百分之五十哦,不用白不用)
然后用
zhonghua1="clsid"
zhonghua2="BD96C556"
zhonghua3="-65A3"
zhonghua4="-11D0"
zhonghua5="-983A"
zhonghua6="-"
zhonghua7="00C04FC29E36"
zhonghuahk1=zhonghua1&zhonghua2&zhonghua3&zhonghua4&zhonghua5&zhonghua6&zhonghua7
替换掉
m3="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
接着在将下面的M3换成zhonghuahk1