☆Obaby's H4cking W0rld☆

Hack-Crack==Backdoors - RATs - Trojans // Binders-Packers - Rootkits

破解-黑客-零日漏洞-灰鸽子/上兴/PCShare-木马免杀-网站入侵-信息安全

2009年5月26日星期二

文件比较在免杀技术中的应用

最近在做免杀的PcShare的时候发现自己做的免杀配置文件出了点问题。生成的服务端可以上线,但是却忽略了一个细节问题。配置服务端的时候选中启用键盘记录功能(图01),生成的服务端可以正常上线,但是键盘记录功能却没有效果。

但是用原来的PcMain.dll替换自己免杀的文件之后生成的服务端却可以正常开启键盘记录。自己修改的那个免杀版的是经过很多次修改的,并且原来定位的特征码也找不到了,难道要重新定位?那样的工作量可想而知。不过最终还是决定重新定位,但是在定位的时候却进入了死循环。这里简单的说一下跳出死循环的方法:1、修改定位区段的开始位置;2、修改分块的长度,可以在原来的基础上加一或者减一;3、如果是针对服务的的定位可以对服务端加壳后重新定位。
终于经过漫长的努力之后终于定位完了全部的特征码,然而在修改的时候又犯愁了,太多了。这个就不说了不是本文的重点。那怎么快速定位修改特征码呢?忽然想到了UltraEdit的文件比较功能,和原来的文件直接比较一下看看修改的位置就知道到底是哪里修改过了。这么做的好处就是省去了定位的麻烦,毕竟特征码的定位和修改是一项费时的工作。打开UltraEdit选择菜单的文件比较功能,选择自己要比较的文件。选择二进制或者智能二进制就可以比较文件了,比较的结果如图02所示,可以直观的看到文件的偏移量和不同数据的内容。但是同样也有个缺点对于大的文件不能直观的看出到底有多少不同,毕竟这样一屏幕的数据还要不停的翻滚想找到不同是非常困难的,而想不遗漏任何不同更是难上加难。难道就只能这样单点去找?




其实我们还有更好的选择那就是windows自带的fc命令,简单的说下fc命令的参数,在命令提示符下输入fc /?就可以看到命令的详细用法了。
比较两个文件或两个文件集并显示它们之间的不同:
  FC [/A] [/C] [/L] [/LBn] [/N] [/OFF[LINE]] [/T] [/U] [/W] [/nnnn]
  [drive1:][path1]filename1 [drive2:][path2]filename2
FC /B [drive1:][path1]filename1 [drive2:][path2]filename2

  /A 只显示每个不同处的第一行和最后一行。
  /B 执行二进制比较。
  /C 不分大小写。
  /L 将文件作为 ASCII 文字比较。
  /LBn 将连续不匹配的最大值设为指定
  的行数。
  /N 在 ASCII 比较上显示行数。
  /OFF[LINE] 不要跳过带有脱机属性集的文件。
  /T 不要将 tab 扩充到空格。
  /U 将文件作为 UNICODE 文字文件比较。
  /W 为了比较而压缩空白(tab 和空格)。
  /nnnn 指定不匹配处后必须连续匹配的行数。
  [drive1:][path1]filename1
  指定要比较的第一个文件或第一个文件集。
  [drive2:][path2]filename2
  指定要比较的第二个文件或第二个文件集。
我们用到的参数只用一个/b 。执行命令 fc pcmain.dll pcmain-y.dll /b >>1.txt 其中pcmain.dll是我修改后的免杀文件,pcmain-y.dll是原来的配置文件。打开命令执行完毕后生成的那个1.txt就可以看到两个文件的不同了。如图03。其中第一列为文件的偏移量,第二列和第三列分别问这两个文件在相同偏离量的值。用这种方法就可以快速定位出已经修改过的文件的特征码了。当然这种比较也有缺点就是对于字符串不能直观的显示出来。然后我们再执行没有/b参数的命令,输出到diff.txt. fc pcmain.dll pcmain-y.dll >>diff.txt 注意:在比较文件的时候最好带上文件绝对路径,否则可能会出错。



打开生成的diff.txt就可以直观看出字符串的变化了。如图04。经过定位发现最终导致键盘记录失败的是函数Global\%s-key-event的修改。对于这样的函数最好的方法就是移位。这不是本文的重点就不做介绍了。在这里简要提示下,一般在免杀后导致木马功能缺失的就是因为对系统调用或者是导入导出函数的修改不当造成的。在将函数移位后已经可以成功的开启键盘记录功能了。如图05,06所示,在输入的时候按了两次删除,所以记录的文本和最后看到的内容有区别。在这里只是简单的提供一个在有免杀文件和源文件的条件下如何快速定位修改的数据的位置和内容。同样通过这种方法可以定位别人修改过的免杀服务端,学习别人的修改方法。








版权声明:
转载请注明原作者:☆obaby☆
网站名称:☆Obaby's H4cking W0rld☆



1 评论:

蔡翠紫 说...

全球隨機視頻網-朵朵同城交友網
全球隨機視頻聊天網-色情好聊天室女視頻聊
免費國外視頻聊天網-比基尼美女胸罩脫落
國外隨機視頻聊天網-日本比基尼美女視頻
交友網站約炮-hihi寂寞同城交友網
真愛旅舍-日冰寂寞同城交友網
國外視頻交友聊天網-中國比基尼美女視頻
視訊聊天交友網-寂寞人交友網
一對一視頻交友-彩蓮公主聊天室
夜店之王視頻秀插件-愛情聊視頻社區
美女視頻秀場-愛情聊視頻聊天室
QQ群視頻-帝成聊天室吧
視頻秀聊天室-夜色88百人視頻聊天室
yy大秀視頻-夜色99百人視頻聊天室
免費寂寞交友聊天-愛聊江蘇地區聊天室
視頻秀網盤-聖魔男女SM聊天室
時裝秀視頻-91KShow視頻聊天室
色群視頻秀-91KShow娛樂社區
美女裸泳照視頻-衡水視頻聊天室
美女裸體的視頻-衡水網絡情緣聊天室
七喜視頻社區-股票聊天室
51vv視頻社區下載-潮人街視頻聊天室
51vv聊天室-潮人街視頻社區
51vv虛擬視頻-奇悅社區視頻聊天室
51vv視頻社區-大同熱線聊天室
呱呱真人秀視頻社區-東營聊天室
美女熱舞視頻-遼河聊吧語音視頻聊天室
美女視頻網站-美女舞廳視頻聊天室
視訊美女視頻-遼河聊吧語音視頻聊天室
成熟美女性裸體-透明裸體模特視頻
成人視頻聊天室-美女舞廳視頻聊天室
色情視頻聊天室-美女舞廳視頻聊天社區
情色視頻聊天室-久久舞吧視頻聊天室
qq的同城聊天室-99cu多人視訊聊天室
同城聊天室網站-5126社區聊天室
網易同城聊天室-5126視頻聊天室
同城交友聊天室-愛幫網視頻聊天室
在線視頻語音聊天室-寂寞交友富婆聊天室官網
同城一夜情聊天室-佳吻聊天室
視頻聊天網-碧聊情系晚霞碧聊
美女視頻直播-同城交友找情人約炮網
美女跳舞視頻網站-真人視頻聊天同城交友
美女視頻網站-免費聊天同城交友約炮
美女視頻下載網站-同城午夜交友網站
美女聊天視頻網站-午夜同城交友聊天社區

发表评论