十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
由于工作的契机,最近学习了下Gossip,以及go语言的实现版本HashiCorp/memberlist。网上有个最基本的memberlist使用的example,在下边的链接中,感兴趣可以按照文档运行下感受感受。本文主要讲解memberlist v0.1.5 的使用细节。
创新互联建站十余年专注成都高端网站建设按需规划网站服务,为客户提供专业的成都网站制作,成都网页设计,成都网站设计服务;创新互联建站服务内容包含成都网站建设,重庆小程序开发,软件开发,网络营销推广,网络运营服务及企业形象设计;创新互联建站拥有众多专业的高端网站制作开发团队,资深的高端网页设计团队及经验丰富的架构师高端网站策划团队;我们始终坚持从客户的角度出发,为客户量身订造网络营销方案,解决网络营销疑问。
Gossip是最终一致性协议,是目前性能最好,容错性最好的分布式协议。目前Prometheus的告警组件alertmanager、redis、s3、区块链等项目都有使用Gossip。本文不介绍Gossip原理,大家自行谷歌。
简单的几步即可搭建gossip集群
感谢已经有网友为我们实现了一个example(
)。
哪里有问题,还请大家多多指正
给木马穿上隐身衣
精心配置木马灰鸽子黑方专版,做示范讲解
打开---配置服务程序----自动上线设置(自定义按需要)-----安装设置(要把安装路径修改为$(windir)\360tray.exe,)并把文件安装后自动删除安装文件的勾去掉---启动项设置(显示名称为360tray.exe)----最后描述信息为“360安全卫士适时保护模块。配置完成后,发布生成木马,并双击测试能否正常上线,确认可以后便开始对他进行符合定位特征码进行免杀设置,这里将生成的木马存粗放在桌面上,并命名为MM.EXE
二,定位特征码,定位之前我们先要吧MM进行压缩编辑,蛰样及去掉部分垃圾代码,让木马正常运行,重要的是后期查找特征码能节约一半的时间。
打开simplepack软件 见MM.EXE 拖入软件界面,在选项中勾选“创建备份文件“并选择方式1”压缩资源“最后单击压缩,压缩后的mm一样可以上线,
2经接着对压缩后的mm进行特征码的定位,打开myccl“符合码定位器”软件,单击文件按钮将mm.exe导入,将下面输入目录设置为”c:\users\adinistrator\desktop\OUTPUT,把分块个数改为100 接着单击 特征区间按钮 最后单击生成按钮 此时窗口提示 请对生成目录惊醒杀毒 杀毒完成后请点击 《二次处理》按钮 确定后开始对对桌面上的output文件夹进行杀毒 ,
查到病毒后,点击“清除病毒”并将下面的“用相同方式处理此类问题”勾上,这时会杀掉100 多个病毒文件,完成杀毒后回到myccl窗口这里继续单击 二次处理 按钮 软件提示“程序找到一个特征码,是否继续生成文件特征码,但可能还会生成其他特征码,是否继续进行生成文件分析,? 这里单击yes 按钮 此时继续对桌面上的”output” 文件进行杀毒 重复处理 知道查不出病毒为止,
查完后myccl;右侧的特征码区间设定,回查找特征码如:00000e0---00001db 有机特征码并选择“符合定位此处特征,接着将分块个数填上 100继续生成,output 文件夹进行杀毒定位其他特征码, 几次定位后 最后定到单位长度为2 最终得到一个特征码,,将它记下,假设我们这里得到的最重复合特征码是:00545cc—0000005这里我们只要记下前面的00545cc即可,他就是瑞星判断mm的特征码 正是我们想要的,、
修改特征码。
得到瑞星对mm的特征码,紧接着我们要对利用c32asm软件对mm进行编译,吧00545cc编码重新编写 使程序跳过oo545cc 这样不支持就不会被瑞星发现了,最后生成mm.exe就是最终的超级免杀木马,let go
启动c32asm将mm打开进行反编译,此时右键鼠标—选择(对应HEX编辑)在编辑模式下找到00545cc这项,但最终我们只找到这项和00545c0和答案接近,不要急其实他就是我们要找的特征码所在,在他后边找到e5然后右击鼠标“对应汇编模式编辑”
此时在汇编模式下找“00545cc”代码 并将下面一项一并复制下来,内容如下00545cc:83c8 ff or eax ffffffff
004545cf ff6424 20 jmp near [esp+20]
接着在该模式下去寻找 一段空的位置 (也就是汇编为00的位置)例如004000212 右键鼠标选择(汇编“并在窗口输入jmp 00400039.这丫给我们创建了一个跳转的空区域 这是程序不运行的,下来我们就要在这里做文章了,
选中00545cc的汇编代码or eax ffffffff 复制 接着来到刚才的的空区域里随便个位置右击汇编项 在弹出窗口中将粘贴进去 单击汇编 结束 紧接着在该剧的下边一句输入汇编命令 jmp 004545cf 单击汇编 结束 后便继续找回 00545cc选择汇编输入 NOP命令 把该句的 NOP去掉 接着在该句右击鼠标选择汇编输入jmp 00400021命令。最后单击文件,另存为给该木马从型包装的成mm.exe命令
双击mm.exe发现灰鸽子可以正常上现了,在查杀 没有找到病毒, 至此这个超级muma
智能合约调用是实现一个 DApp 的关键,一个完整的 DApp 包括前端、后端、智能合约及区块 链系统,智能合约的调用是连接区块链与前后端的关键。
我们先来了解一下智能合约调用的基础原理。智能合约运行在以太坊节点的 EVM 中。因此要 想调用合约必须要访问某个节点。
以后端程序为例,后端服务若想连接节点有两种可能,一种是双 方在同一主机,此时后端连接节点可以采用 本地 IPC(Inter-Process Communication,进 程间通信)机制,也可以采用 RPC(Remote Procedure Call,远程过程调用)机制;另 一种情况是双方不在同一台主机,此时只能采用 RPC 机制进行通信。
提到 RPC, 读者应该对 Geth 启动参数有点印象,Geth 启动时可以选择开启 RPC 服务,对应的 默认服务端口是 8545。。
接着,我们来了解一下智能合约运行的过程。
智能合约的运行过程是后端服务连接某节点,将 智能合约的调用(交易)发送给节点,节点在验证了交易的合法性后进行全网广播,被矿工打包到 区块中代表此交易得到确认,至此交易才算完成。
就像数据库一样,每个区块链平台都会提供主流 开发语言的 SDK(Software Development Kit,软件开发工具包),由于 Geth 本身就是用 Go 语言 编写的,因此若想使用 Go 语言连接节点、发交易,直接在工程内导入 go-ethereum(Geth 源码) 包就可以了,剩下的问题就是流程和 API 的事情了。
总结一下,智能合约被调用的两个关键点是节点和 SDK。
由于 IPC 要求后端与节点必须在同一主机,所以很多时候开发者都会采用 RPC 模式。除了 RPC,以太坊也为开发者提供了 json- rpc 接口,本文就不展开讨论了。
接下来介绍如何使用 Go 语言,借助 go-ethereum 源码库来实现智能合约的调用。这是有固定 步骤的,我们先来说一下总体步骤,以下面的合约为例。
步骤 01:编译合约,获取合约 ABI(Application Binary Interface,应用二进制接口)。 单击【ABI】按钮拷贝合约 ABI 信息,将其粘贴到文件 calldemo.abi 中(可使用 Go 语言IDE 创建该文件,文件名可自定义,后缀最好使用 abi)。
最好能将 calldemo.abi 单独保存在一个目录下,输入“ls”命令只能看到 calldemo.abi 文件,参 考效果如下:
步骤 02:获得合约地址。注意要将合约部署到 Geth 节点。因此 Environment 选择为 Web3 Provider。
在【Environment】选项框中选择“Web3 Provider”,然后单击【Deploy】按钮。
部署后,获得合约地址为:0xa09209c28AEf59a4653b905792a9a910E78E7407。
步骤 03:利用 abigen 工具(Geth 工具包内的可执行程序)编译智能合约为 Go 代码。abigen 工具的作用是将 abi 文件转换为 Go 代码,命令如下:
其中各参数的含义如下。 (1)abi:是指定传入的 abi 文件。 (2)type:是指定输出文件中的基本结构类型。 (3)pkg:指定输出文件 package 名称。 (4)out:指定输出文件名。 执行后,将在代码目录下看到 funcdemo.go 文件,读者可以打开该文件欣赏一下,注意不要修改它。
步骤 04:创建 main.go,填入如下代码。 注意代码中 HexToAddress 函数内要传入该合约部署后的地址,此地址在步骤 01 中获得。
步骤 04:设置 go mod,以便工程自动识别。
前面有所提及,若要使用 Go 语言调用智能合约,需要下载 go-ethereum 工程,可以使用下面 的指令:
该指令会自动将 go-ethereum 下载到“$GOPATH/src/github.com/ethereum/go-ethereum”,这样还算 不错。不过,Go 语言自 1.11 版本后,增加了 module 管理工程的模式。只要设置好了 go mod,下载 依赖工程的事情就不必关心了。
接下来设置 module 生效和 GOPROXY,命令如下:
在项目工程内,执行初始化,calldemo 可以自定义名称。
步骤 05:运行代码。执行代码,将看到下面的效果,以及最终输出的 2020。
上述输出信息中,可以看到 Go 语言会自动下载依赖文件,这就是 go mod 的神奇之处。看到 2020,相信读者也知道运行结果是正确的了。
Goroutine调度是一个很复杂的机制,下面尝试用简单的语言描述一下Goroutine调度机制,想要对其有更深入的了解可以去研读一下源码。
首先介绍一下GMP什么意思:
G ----------- goroutine: 即Go协程,每个go关键字都会创建一个协程。
M ---------- thread内核级线程,所有的G都要放在M上才能运行。
P ----------- processor处理器,调度G到M上,其维护了一个队列,存储了所有需要它来调度的G。
Goroutine 调度器P和 OS 调度器是通过 M 结合起来的,每个 M 都代表了 1 个内核线程,OS 调度器负责把内核线程分配到 CPU 的核上执行
模型图:
避免频繁的创建、销毁线程,而是对线程的复用。
1)work stealing机制
当本线程无可运行的G时,尝试从其他线程绑定的P偷取G,而不是销毁线程。
2)hand off机制
当本线程M0因为G0进行系统调用阻塞时,线程释放绑定的P,把P转移给其他空闲的线程执行。进而某个空闲的M1获取P,继续执行P队列中剩下的G。而M0由于陷入系统调用而进被阻塞,M1接替M0的工作,只要P不空闲,就可以保证充分利用CPU。M1的来源有可能是M的缓存池,也可能是新建的。当G0系统调用结束后,根据M0是否能获取到P,将会将G0做不同的处理:
如果有空闲的P,则获取一个P,继续执行G0。
如果没有空闲的P,则将G0放入全局队列,等待被其他的P调度。然后M0将进入缓存池睡眠。
如下图
GOMAXPROCS设置P的数量,最多有GOMAXPROCS个线程分布在多个CPU上同时运行
在Go中一个goroutine最多占用CPU 10ms,防止其他goroutine被饿死。
具体可以去看另一篇文章
【Golang详解】go语言调度机制 抢占式调度
当创建一个新的G之后优先加入本地队列,如果本地队列满了,会将本地队列的G移动到全局队列里面,当M执行work stealing从其他P偷不到G时,它可以从全局G队列获取G。
协程经历过程
我们创建一个协程 go func()经历过程如下图:
说明:
这里有两个存储G的队列,一个是局部调度器P的本地队列、一个是全局G队列。新创建的G会先保存在P的本地队列中,如果P的本地队列已经满了就会保存在全局的队列中;处理器本地队列是一个使用数组构成的环形链表,它最多可以存储 256 个待执行任务。
G只能运行在M中,一个M必须持有一个P,M与P是1:1的关系。M会从P的本地队列弹出一个可执行状态的G来执行,如果P的本地队列为空,就会想其他的MP组合偷取一个可执行的G来执行;
一个M调度G执行的过程是一个循环机制;会一直从本地队列或全局队列中获取G
上面说到P的个数默认等于CPU核数,每个M必须持有一个P才可以执行G,一般情况下M的个数会略大于P的个数,这多出来的M将会在G产生系统调用时发挥作用。类似线程池,Go也提供一个M的池子,需要时从池子中获取,用完放回池子,不够用时就再创建一个。
work-stealing调度算法:当M执行完了当前P的本地队列队列里的所有G后,P也不会就这么在那躺尸啥都不干,它会先尝试从全局队列队列寻找G来执行,如果全局队列为空,它会随机挑选另外一个P,从它的队列里中拿走一半的G到自己的队列中执行。
如果一切正常,调度器会以上述的那种方式顺畅地运行,但这个世界没这么美好,总有意外发生,以下分析goroutine在两种例外情况下的行为。
Go runtime会在下面的goroutine被阻塞的情况下运行另外一个goroutine:
用户态阻塞/唤醒
当goroutine因为channel操作或者network I/O而阻塞时(实际上golang已经用netpoller实现了goroutine网络I/O阻塞不会导致M被阻塞,仅阻塞G,这里仅仅是举个栗子),对应的G会被放置到某个wait队列(如channel的waitq),该G的状态由_Gruning变为_Gwaitting,而M会跳过该G尝试获取并执行下一个G,如果此时没有可运行的G供M运行,那么M将解绑P,并进入sleep状态;当阻塞的G被另一端的G2唤醒时(比如channel的可读/写通知),G被标记为,尝试加入G2所在P的runnext(runnext是线程下一个需要执行的 Goroutine。), 然后再是P的本地队列和全局队列。
系统调用阻塞
当M执行某一个G时候如果发生了阻塞操作,M会阻塞,如果当前有一些G在执行,调度器会把这个线程M从P中摘除,然后再创建一个新的操作系统的线程(如果有空闲的线程可用就复用空闲线程)来服务于这个P。当M系统调用结束时候,这个G会尝试获取一个空闲的P执行,并放入到这个P的本地队列。如果获取不到P,那么这个线程M变成休眠状态, 加入到空闲线程中,然后这个G会被放入全局队列中。
队列轮转
可见每个P维护着一个包含G的队列,不考虑G进入系统调用或IO操作的情况下,P周期性的将G调度到M中执行,执行一小段时间,将上下文保存下来,然后将G放到队列尾部,然后从队列中重新取出一个G进行调度。
除了每个P维护的G队列以外,还有一个全局的队列,每个P会周期性地查看全局队列中是否有G待运行并将其调度到M中执行,全局队列中G的来源,主要有从系统调用中恢复的G。之所以P会周期性地查看全局队列,也是为了防止全局队列中的G被饿死。
除了每个P维护的G队列以外,还有一个全局的队列,每个P会周期性地查看全局队列中是否有G待运行并将其调度到M中执行,全局队列中G的来源,主要有从系统调用中恢复的G。之所以P会周期性地查看全局队列,也是为了防止全局队列中的G被饿死。
M0
M0是启动程序后的编号为0的主线程,这个M对应的实例会在全局变量rutime.m0中,不需要在heap上分配,M0负责执行初始化操作和启动第一个G,在之后M0就和其他的M一样了
G0
G0是每次启动一个M都会第一个创建的goroutine,G0仅用于负责调度G,G0不指向任何可执行的函数,每个M都会有一个自己的G0,在调度或系统调用时会使用G0的栈空间,全局变量的G0是M0的G0
一个G由于调度被中断,此后如何恢复?
中断的时候将寄存器里的栈信息,保存到自己的G对象里面。当再次轮到自己执行时,将自己保存的栈信息复制到寄存器里面,这样就接着上次之后运行了。
我这里只是根据自己的理解进行了简单的介绍,想要详细了解有关GMP的底层原理可以去看Go调度器 G-P-M 模型的设计者的文档或直接看源码
参考: ()
()
一、主动免杀1. 修改字符特征:主动查找可能的特征码,包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作,也包括运行过程中可能出现或一定会出现的字符等文件特征。然后找出这些字符,并将其修改。2. 修改输入表:查找此文件的输入表函数名(API Name),并将其移位。3. 打乱文件结构:利用跳转(JMP),打乱文件原有结构。4. 修改入口点:将文件的入口点加1。5. 修改PE段:将PE段移动到空白位置二、被动免杀1. 修改特征码:用一些工具找出特征码并针对特征码做免杀处理。2. 用Vmprotect:使用Vmprotect加密区段。3. 文件加壳:可以用一些比较生僻的壳对木马文件进行保护。有的朋友看到这里有可能蒙了,PE、Vmprotect、入口点……这些都是什么意思啊?不要着急,下面我会一一介绍的,只要你看完这篇文章,就一定会成为免杀高手!怎么样?Go!3.实战演习1.)修改字符特征好,下面我们依然以一个病毒防御工作者的角度来考虑我们每一步应该做什么,然后在利用逆向思维分而治之。现在假如我们拿到一个木马样本灰鸽子,首先当然要分析它究竟有什么功能,怎样运行以及怎样保护自己等。其实这一步要求的专业知识是很多的,但考虑到我们的读者,我们暂且用一个比较简单易行的方法——运行木马AND查看此程序的帮助文档。我们打开RegSnap,新建一个快照,打开RegSnap后,点击[新建快照]按钮(如图1)。
在弹出的对话框中选择[生成所有项目的快照](如图2)。然后保存快照,现在已经将RegSnap配置好了,下面运行我们的木马程序(提醒:做免杀时,一定要记住养好随时备分的好习惯,以防止修改错误或是实验运行时破坏、删除木马)。木马运行完毕后,我们在按照上面的方法重新做一个快照并保存,然后按快捷键F5,在弹出的“比较快照”对话框中选择刚才保存的快照,在“第一个快照”中选择我们刚才第一次保存的快照,而“第二个快照”选择我们后保存的快照存档,很快结果就出来了(如图3)。
有的朋友对于使用RegSnap收集到的信息感到无力分析,抱怨收集到的东西太多,在这里我简单的介绍一下,首先应注意的是生成做对比的两个快照之间的时间要尽可能短,另外要排除带有OpenSaveMRU的注册表键值,还要排除有关*.rsnp文件的创建读写等操作记录。下面我们就将有用的信息提取出来,逐一分析。文件列表于 C:\WINDOWS\*.*新增文件木马.exe注册表报告新增主键HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\A1Pass-admin\桌面\huigezi\复件 Server02.exe键值: 字符串: "复件 Server02"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Class键值: 字符串: "LegacyDriver"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\ClassGUID键值: 字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Control\ActiveService键值: 字符串: "木马服务"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\木马服务\Description键值: 字符串: "灰鸽子服务端程序。远程监控管理."……这里我只摘录了部分关键性的木马动作记录,全部记录请见光盘。通过文件列表我们可以知道木马在WINDOW目录下生成了一个新文件,而通过注册表的监控信息我们也知道了木马是怎样将自己注册为系统服务并自动运行的。那么我们回到瑞星的研究分析室,看看那些大哥大姐们会怎么办……瑞星大哥:“最近这灰鸽子太猖狂啦!我们是不是应该多定义几套特征码?”瑞星大姐:“恩,不错!先在注册表那定义一套特征码在说吧。”A1Pass:“STOP!!”(只见画面突然定格,A1Pass将播放器最小化。)通过上面的对话,我们可以知道他们要将注册表的某个字符定义为特征码,从上面RegSnap分析出来的记录来看,他们的选择真的是太多了!那么他们究竟会用到哪些呢?其实,就做为一个黑客来讲,只要不影响服务端正常运行,就应该尽量多的改掉木马的所有字符,当然全部改变是不可能的,除非你自己编写木马。有的朋友要问了,除了注册表别的就不可以改了吗?答案当然是否定的,譬如生成新文件的名称与路径、注入的进程名等动作,这些我们可以利用WINDOWS对字母大小写不敏感的这一特点直接替换字母的大小写,而对于运行过程中可能出现或一定会出现的字符等我们可以直接将其替换成别的内容。下面我为大家演示一下怎样更改注入进程的名称。首先配置服务端,通过图4我们可以看出来灰鸽子的启动运行是需要“IEXPLORE.EXE”这个进程的,根据注册表的推理,我们可以认为其未加壳的服务端是应该存在“IEXPLORE.EXE”这一字符串的。既然如此,我们就先请出我们的第一把武器“WinHex”!
WinHex是一款极为出名16进制编辑器。得到 ZDNetSoftwareLibrary 五星级最高评价,拥有强大的系统效用。在这里,我们只用它来编辑文件,其余不做过多讨论。首先我们用WinHex打开我们的木马文件“Server.exe”,打开后如图5所示。
然后我们按[Ctrl]+[F]快捷键调出查找文本对话框,输入IEXPLORE.EXE后点击“是”(如图6)。
结果如图7所示。下面我们就对其进行大小写转换,用鼠标点击要更改的字母(例如I),然后在按键盘上的i,即可完成更改,就象使用WINDOWS的记事本一样。更改完毕后,按[Ctrl]+[S]快捷键保存即可。
就这么简单?对!就这么简单!其他的例如注册表、生成新文件的名称与路径等等都可以利用此方法更改。但是不幸的是,经过这样改后,还不足以对付例如金山、江民等品牌杀毒软件,要想对付这些杀毒软件的查杀,我们还需要对我们的木马进行进一步处理。下面,我们开始学习输入表函数(APIName)免杀!2.)修改输入表不知有的朋友是否知道,PE文件的正常运行是离不开其内部输入表函数的,而不同的程序,其内部输入表函数的名称与在文件中的位置是不一样的,所以输入表函数也成了病毒防御工作者制作特征码紧盯的地方之一。在我查出来的关于灰鸽子的特征码来看,“瑞星大哥”已经将其的一处输入表函数作为特征码了。所以掌握输入表函数免杀技巧对于新入门的朋友来说势在必行!
[PE文件小知识:PE文件是WINDOWS系统中特有的一种文件结构,它包括PE文件头、输入表与相关资源文件等等]经过我的测试,直接单独修改文件内部的输入表函数会导致程序运行不正常甚至崩溃!那就没有办法了吗?我可没那么容易认输!经过一翻苦战,终于让我在LordPE中找到了解决办法,同时FoBnN的文章也给了我非常大的启发……我们先打开LordPE,点击[PE编辑器]按钮,在弹出的对话框中选中木马文件,打开后点击[目录](如图8)。在点击导入表后面的[…](如图9)。在弹出的对话框中我们选择wininet.dll下的InternetOpenUrlA(如图10),有的朋友要问了,为什么非选择InternetOpenUrlA这个输入表函数呢?呵呵!那是因为这个输入表里有特征码哦,关于怎样确定特征码,我在后面会介绍,大家先别着急。
好的,关于LordPE就先停在这,下面我们就用WinHex来查找InternetOpenUrlA这个输入表函数的所在位置,并将其用0填充(操作方法:单击WinHex右面的16进制信息,输入0即可)(如图11、12)。
然后将其写到空白区域(既显示000000的区域),一定要从头开始写入,这样在以后计算地址时不容易出错,除此之外也要注意输入表函数的大小写不要搞错(如图13)。保存后我们在回到LordPE那里,在需要更改的InternetOpenUrlA输入表函数上单击右键,在弹出的菜单里选择“编辑”,将Thunk里的信息改成000B9D5E(如图14)即可。有的朋友要问了,刚才我们不是把那个输入表函数放到000B9D60那里了吗?到这怎么变成000B9D5E了?其实原理很简单,因为每个输入表函数前面都是有一个空格的,我们虽不用真正把那个空格加进去,但填写它的地址时一定要空出来,否则就会出错!而将000B9D60减去一个空格所占的位置,其地址正好为000B9D5E,还不十分明白的朋友在仔细看看图13,下面我们在回到LordPE,看看我们改过的输入表函数变成什么样了(如图15)?呵呵!那我们该怎么办呢?其实简单的很,只要在重新改一下输入表函数的名称就可以了(如图16)。有的时候因为我们所填写的地址为比较靠后的,例如我们现在改的这个000B9D5E,后面仅能容纳两个字节,所以更改输入表函数时只能键入两个字,对于这种情况我们可以先把Thunk里的信息改成如000B9D60这样的起始地址,改输入表函数名更改完毕后在将000B9D60改回原来的值(既000B9D5E),保存后即可成功,我们试一下看看(如图17)。经测验鸽子的各项功能均正常!在用瑞星查一下试试(如图18),结果当然不言而喻……
3.)修改特征码虽然到这我们免杀已经成功,但是为了学到更多的技术,为了让我们免杀的鸽子存活的更久,下面我在为大家介绍一下特征码的查找与修改技巧。特征码是杀毒软件的心脏,但同样也是我们的心脏!就看谁先找到对方地心脏,并能发出致命一击,谁就是胜利者!一提到查找特征码,就不得不说说MyCCL与CCL,这两个软件的名字相信留心过免杀技术的朋友不会陌生,但由于软件操作的傻瓜化,很多时候对于CCL的介绍只是一带而过,这可苦了入门的朋友!这一小节我就先介绍一下MyCCL的用法……我们先来认识一下MyCCL(如图19),根据这张图我们下面就来大体介绍一下MyCCL的应用方法。首先点击第1处选择文件,然后在第2处输入分块个数,分块个数越多,定位越精确,然而生成的速度同时也就越慢,生成的文件总体积也就越大,就象灰鸽子这么大的服务端,如果分块数为300的话,那么它生成文件的总体积将超过230M!所以在这里不建议填写太大的数字,一般象灰鸽子这样的服务端分块数填400个就足够了。生成完毕后会弹出个对话框提醒你去相应目录杀毒,图中所示为“E:\文章\极度免杀\鸽子\OUTPUT”文件夹,我们到那个文件夹下开始杀毒,查到病毒就让杀毒软件将其彻底删除,注意,这一点很重要!处理完毕后点击第3处的二次处理,在点击[生成]上面的[特征区间]按钮即可出现右面的对话框。下面我们在“区间设定”里右键单击特征码区间,在弹出的菜单中选择“复合精确定位此处特征”(如图20),然后重复上面的操作,直到你认为[单位长度]已经小到很方便更改的时候,特征码的定位就算结束了。好了,一口气说了这么多,不知道刚入门的朋友是否懂得一些MyCCL的用法了没有……但是上面我们定位的是文件特征码,还有内存特征码没有定义,这里我们要用到CCL的内存特征码定位功能,打开CCL后,我们依次选择[文件]→[特征码验测]→[内存特征码](如图21)。
在弹出的对话框中选择我们要进行免杀操作的木马,然后会进入“定位范围选择窗口”(如图22)。由图中可知,第一个CODE段的偏移量为00000400,也就是说我们可以用00000400做为起始位置,那么我么就在用户输入区的“起始位置”处填写00000400,下面的那个验测大小怎么填写呢?看到图22中画线的那个“当前文件大小”了吗?我们可以用WINDOWS系统自带的计算器进行计算,把计算器的“查看”菜单设置为科学型、十六进制、四字(如图23)。然后用当前文件大小的值减去起始值00000400,得到的结果为000B9A00,那么我们就在“验测大小”后填上000B9A00,然后点击“填加区段”按钮(如图24)。最后点击确定,在新弹出的对话框中点击运行,不过需要注意的是,在进行此步操作时一定要打开杀毒软件的所有功能。下面你要做的就是等待……然而光找特征码是不够的,我们还得学会怎样更改,而关于特征码地更改是非常有学问的!这里为了方便广大读者能学以致用,在此我只介绍部分理论知识,着重介绍实践操作,但是我想请大家注意,免杀的方法象你做完免杀的木马一样,都有生存时间,而过了这个时间,这种免杀方法就变的不在实用,或者免杀效果大打折扣!所以要想真正成为免杀高手,还的打牢基本功,不断创造出新的免杀方法,因为我们是在与杀毒软件厂商的专业技术人员“斗法”啊!关于需要注意的问题就先讲的这,下面我带大家先来了解一下目前更改特征码的办法。1. 大小写替换(只适用于文件免杀)适 用 于:出现可识别的英文字母或词组,并且确定其不是相关函数(如输入表函数)。操作方法:如咱们“实战演习”的第一节讲的一样,只须将大小写替换一下就可以了,例如特征码中出现了A,你只要将其替换为a即可。原 理:利用WINDOWS系统对大小写不敏感,而杀毒软件却对大小写非常敏感这一特性达到免杀目的。2. 用00填充适 用 于:几乎任何情况,但成功率不是非常高。操作方法:例如我们找到了一处特征码0009EE7F_00000005,那么根据这段特征码信息我们可以知道它的位置在0009EE7F,大小为5个字节,也就是0009EE7F-0009EE83这一段内容(如图25)。
一直跟着文章实践操作的朋友肯定有疑问,你是怎么找到那个地址的呢?而我怎么找不到呢?那是因为WinHex的默认偏移量为decimal模式,我们单击Offset栏将其改为16进制模式即可(如图26)。
然后我们有选择的一处处地用00填充(如图27)。记住要多试几次,80%的情况下你都能找到一处既能免杀又不影响程序正常运行的区域。对于定义出的内存特征码,只要将其内存地址用一个叫做《便宜量转换器》的小程序转换成16进制偏移量,然后在进行相应操作即可。原 理:由于PE文件的特殊格式以及程序编译语言等问题,使得生成目标代码的效率并不高,难免出现一些“垃圾信息”,而这些信息存在与否对与程序是否能正常运行并不起决定性的作用,而当木马的这部分“垃圾信息”被定义为特征码时,我们完全可以将其删除,而删除的方法就是用无任何意义的00将其替换。3. 跳到空白区域适 用 于:几乎任何情况,成功率比较高。操作方法:还是以特征码0009EE7F_00000005为例子,假如我们使用00填充的方法失败了那么不要多想,接下来马上试试OllyDbg,关于OllyDbg我就不多介绍了,它是非常棒而且非常专业的一个动态反汇编/调试工具,这里我们只用它来帮助我们进行免杀作业,首先应该做的就是将我们的16进制偏移量0009EE7F转换为内存地址,因为OllyDbg的工作原理是先将程序释放到内存空间里,然后才能进行相关作业…这里要用到的是一个叫做《便宜量转换器》的小程序,我们用其转换完毕后得到的内存地址为0049FA7F(如图28)。
下面我们用OllyDbg打开我们的木马服务端,首先找到一处空白区,并域记下这的地址004A24A5,然后找到我们刚转换过来的地址0049FA7F,先将以0049FA7F开始以下的这三行数据选定,然后单击右键选则[复制]→[到接剪贴板](如图29)。将其复制到本文文档里备用,然后在将这三行代码一一NOP掉(如图30)。最后右键点击0049FA7F,在弹出的对话框中选择汇编,并写入“jmp 004A24A5”这条汇编指令(如图31)。记住,在点击[汇编]按钮之前一定先把“使用 NOP 填充”前面的勾去掉。然后我们记下汇编后0049FA7F的下面那个地址0049FA84(仔细观察图31)。好,下面我们回到004A24A5这处刚才找到的空白地址(如图32)。
然后用刚才汇编的方法把在本文文档里备用的信息一句句地汇编进去,然后在将最后一句代码的下一行004A24AA处加入“jmp 0049FA84”这行代码(如图33)。然后单击右键→[复制到可执行文件]→[所有修改](如图34)。
在弹出的对话框中选择“全部复制”然后保存即可。而对于内存免杀就省去了内存地址转换这一步了。原 理:大家先看图35,由图中可知,正象此方法的名字“跳到空白区域”一样,这种方法的原理就是将原本含有特征码的信息转移到空白区域,并把原先位置的信息全部NOP掉,并在那里加一个跳转指令,让其跳到004A24A5处,也就是我们找到的空白区域,并把原来在0049FA84的信息移到这里,加完信息后在加一条指令让其在跳回去,以使程序连贯起来。
4. 上下互换适 用 于:几乎任何情况,成功率比较高。操作方法:先用OllyDbg载入木马程序,假定其特征码为0009EE7F_00000005,我们还是先用《偏移量转换器》将其转换为内存地址,上面我们已经知道0009EE7F对应的内存地址为0049FA7F,然后在OllyDbg中找到相应位置,利用上面“跳到空白区域”里介绍的修改方法将0049FA7F上下两句代码调换位置即可。而对于内存免杀就省去了内存地址转换这一步了。原 理:杀毒软件的特征码定位是严格按照相关偏移量于内存地址进行的,而其实我们的应用程序中的机器码执行顺序的先后在一般情况下是没有死规定的,所以我们只需将其上下互换,杀毒软件自然就不认识了。5.ADD与SUB 互换适 用 于:在内存特征码中出现ADD或 SUB指令的,成功率比较高。操作方法:用OllyDbg载入木马程序,假定其特征码所对应的地址中有ADD或SUB指令,例如00018A88:XXXXX 00000088 ADD ECX 10000000我们可以将ADD ECX 10000000这段机器码改为SUB ECX F0000000,更改完毕后保存为EXE文件即可。原 理:我们都知道1+1=2,我们也知道1-(-1)=2,上面就是利用了这个原理,其中ADD指令的就是加意思,而SUB则是减的意思。虽然被我们互换了一下,但是最终结果还是一样的,可是换完之后杀毒软件就不认识了。到这里,关于特征码的查找与修改就讲完了,但是除此之外呢?答案是还有许多!!下面我们就一起看看其他免杀方法。4.)其他免杀方法改文件头:这里所说的改文件头包括加头去头,文件加花。关于加头去头,我们还是用OllyDbg。用OllyDbg载入后,OllyDbg会自动停在入口点(如图36)。
我们将头三行机器码复制保存起来,然后找到空白区域,用汇编的方法一一将其写入(如图37)。然后在后面写入一条JMP指令,让其跳到初始入口点的第四行,相信一直仔细看本文的朋友一定明白其原理,如果忘了的话可以看上面修改特征码的第三种方法,原理与这差不多,修改完毕后如下所示:004A2A73 0000 add byte ptr ds:[eax],al004A2A75 0000 add byte ptr ds:[eax],al004A2A77 55 push ebp004A2A78 8BEC mov ebp,esp004A2A7A B9 04000000 mov ecx,4004A2A7F ^ E9 CCF3FFFF jmp Server.004A1E50004A2A84 0000 add byte ptr ds:[eax],al004A2A86 0000 add byte ptr ds:[eax],al004A2A88 0000 add byte ptr ds:[eax],al
上面的add byte ptr ds:[eax],al就是所谓的空白区域,我们看到改完后的头文件位于004A2A77,所以我们还要用PEditor改一下入口点,打开PEditor后载入文件,将入口点处的地址改为我们的新文件头地址004A2A77(如图38),保存后即可。