修改特征码打造免杀后门之灰
鸽子篇
——DLL释放型后门的特征码修改
修改过程概述
灰鸽子是一款非常不错的远程控制
软件,使用者也很多,因此是各大杀软的必杀对象。较新的鸽子主要功能代码用DLL实现,这增加了程序的隐蔽性,但同时也加大了修改特征码的难度。对于全部功能由一个EXE文件完成的程序,比如鸽子的老版本和WinShell之类,只需要修改EXE本身既可;而对于运行时会释放DLL文件的版本,不但EXE文件本身有特征码(通常在代码段中),而且DLL中也含有大量特征码。因此,修改的大致过程为:导出DLL,修改DLL,DLL导入EXE,修改EXE。下面以灰
鸽子1.05版未加壳服务端,卡巴斯基的特征码为例,详细地讲解修改过程。喝口水,准备过草地了。
DLL文件的导出
拿到服务端文件,老规矩,先检测,卡巴报警发现Backdoor.Win32.Feutel.a。下面导出服务端包含的DLL,灰
鸽子官方教程里用的是Res
Hacker,而我更偏向于使用PE Explorer。打开服务端文件,点击工具栏里的“Resource Viewer/Editor”,会显示资源的树状结构,其中RCDataMAINDLL就是我们需要导出的文件.
可以看到PE Explorer已经自动判断出该资源是一个PE文件。在MAINDLL的图标上单击右键,选择“save resources as”,就可以将MAINDLL资源导出。下面做什么?开始修改吗?别急,MAINDLL中还有两个DLL需要导出。再打开刚导出的资源,可以得到另外两个DLL,名字倒是很直接,一个叫HOOK,一个叫GETKEY.
分别导出这两个DLL,用卡巴斯基检测一下,报警发现了Backdoor.Win32.Feutel.a和Trojan-PSW.Win32.KeyLogger.c。到这里,基本思路就应该确定了,先修改HOOK和GETKEY两个DLL,然后将其导入MAINDLL,再修改MAINDLL的代码段中含有的特征码,完毕后将其导入原服务端EXE文件,最后修改EXE文件的代码段中含有的特征码!可不要打退堂鼓,让我们一步步来。
修改HOOK
这是我们第一次修改DLL,但DLL文件的格式和普通的EXE文件其实没有差别,都是标准的PE文件,如果你看了前两期关于特征码定位器使用的文章的话,操作上应该没有什么问题。我们的思路仍旧是:手动定位确定特征码大体范围,自动定位确定精确的位置。
打开CCL,设置成手动,生成300个文件,然后打开HOOK,不选择任何段,对整个文件进行替换,等程序提示全部文件生成完毕后,用卡巴斯基对目标文件夹检测,并将报警的文件删除,最终结果如下:
-------------定位结果------------
序号 起始偏移 大小 结束偏移
0001 00000000 000002B8 000002B8
0002 000140D0 000002B8 00014388
0003 0001479C 0000015C 000148F8
下面将CCL设置为自动检测,间隔时间为7秒,在输入检测段时将0002和0003的数据添加到待检测栏里.
如果你细心的话会发现这两个偏移其实都在CODE段中,这正说明大多数特征码的位置都存在于代码段里。单击确定,进行自动检测,过程就不说了,详细的操作
动画过去的黑防都已提供,最终得到如下定位结果:
-------------定位结果------------
序号 起始偏移 大小 结束偏移
0001 00014193 00000015 000141A8
0002 000141A9 0000002A 000141D3
0003 000141D5 0000002A 000141FF
0004 00014200 0000002A 0001422A
0005 0001422C 0000002A 00014256
0006 00014257 0000002A 00014281
0007 00014283 00000015 00014298
0008 0001479C 00000015 000147B1
还真不少,共有8处。修改哪里呢?我的经验是:尽量修改代码,避免修改字符串和数据,因为修改后者必须将每一处调用它的指令都做改动,且在不确定具体含义的情况下很容易出错,不推荐。
先看第一处,用IDA对HOOK进行反汇编,然后找到00014193处,也就是内存偏移00414D93(这里可以用我写的小工具:偏移量转换器,输入文件偏移可以自动计算出内存偏移),这里的代码如下:
CODE:00414D91 dd offset off_413FB0
CODE:00414D95 dd 64616D0Bh, 65646F43h, 6B6F6F48h
CODE:00414DA1 align 4
很显然,这是一些数据,我们甚至不知道它的意义,要修改真是无从下手。于是看第2处,代码如下:
……
CODE:00414DAD xor edx, edx
CODE:00414DAF mov [ebp+var_18], edx
CODE:00414DB2 mov [ebp+var_8], edx
CODE:00414DB5 mov ebx, eax
CODE:00414DB7 xor eax, eax
CODE:00414DB9 push ebp
CODE:00414DBA push offset loc_414F97
CODE:00414DBF push dword ptr fs:[eax]
CODE:00414DC2 mov fs:[eax], esp
CODE:00414DC5 xor eax, eax
CODE:00414DC7 push ebp
……
看来第二处全部是汇编指令,就修改它了。用什么方法呢?前两期我介绍过“指令顺序变换”和“万能跳转”两种方法,当然,能用第一种时尽量用,这里我们也采用变换指令顺序的方法。注意加黑的指令,我们就改变这两句的顺序。修改文件我还是习惯用OllyDbg,因为可以直接进行指令级的操作,你也可以用二进制编辑
软件。
用OD打开HOOK,OD会提示“打开的是DLL,是否用Loaddll进行加载”,点确定,然后来到003E4DA7处。这里又有问题了,为什么刚才用IDA打开时,位置在00414DA7而现在却变成003E4DA7呢?这是因为DLL加载时,加载基址是可变的。给大家讲一个在OD中判断加载基址的方法。单击OD工具栏中的M,会显示出当前进程内存中的所有模块.
根据名称找到加载我们的DLL的位置,图中可以看到00400000已经被LOADDLL给占据了,因此HOOK只能被发配到003D0000了,相应的,在IDA中的地址需要减去一个差值(00400000-003D0000)才能得到OllyDbg中的地址。
将黑体的指令进行顺序调换,修改如下:
003E4DB7 55 push ebp
003E4DB8 33C0 xor eax,eax
然后保存修改,再用卡巴斯基来检测一下修改后的HOOK文件,果然,HOOK已经免杀了,是不是很神奇,仅仅修改了三个字节就搞定了!
修改GETKEY
下面该第二个DLL了,过程和修改HOOK的一样,就不详述了,简述一下过程:手动定位的结果如下(生成300个文件):
-------------定位结果------------
序号 起始偏移 大小 结束偏移
0001 00000000 000002BC 000002BC
0002 000095B5 0000015E 00009713
0003 00009DE9 000000AF 00009E98
然后对95B5和9DE9两个段进行自动定位,最终结果如下:
-------------定位结果------------
序号 起始偏移 大小 结束偏移
0001 00009621 00000015 00009636
0002 00009637 0000002A 00009661
0003 00009664 0000002A 0000968E
0004 0000968F 0000002A 000096B9
0005 000096BB 0000002A 000096E5
0006 000096E6 0000002A 00009710
0007 00009E40 0000002A 00009E6A
共有7处,还挺多的。原理一样,尽量修改汇编指令,避免字符串和数据。这一次运气不错,第0001段就是汇编指令:
003DA221 . 68 34A63D00 push RC_Data_.003DA634 ; ASCII " <"
003DA226 . 8D95 ECFEFFFF lea edx,dword ptr ss:[ebp-114]
003DA22C . 8B45 F8 mov eax,dword ptr ss:[ebp-8]
003DA22F . E8 68FEFFFF call RC_Data_.003DA09C
相信修改这几句指令已经难不倒你了,将前三句的顺序调换一下:
003DA221 68 34A63D00 push RC_Data_.003DA634 ; ASCII " <"
003DA226 &
