打造个人免杀木马
、木马特征码与免杀
木马免杀才是木马个性化的意义所在,否则界面外观再漂亮的木马程序,被杀毒软件查杀后,等于是一个中看不中用的废品。一般来说,杀毒软件查杀木马,靠的是识别木马程序中几个特殊字符,也就是所谓的“木马特征码”。如果在检测程序中,发现了程序中包含特征码,那么则判定此程序文件为木马。而普通的给木马加壳,也是通过加壳压缩过程,达到修改程序入口点,起到变换特征码,从而实现免杀的效果。不过现在杀毒软件的脱壳能力非常的强了,普通加壳方法不能实现免,因此只有手工修改木马特征码,才能实现真正的木马免杀!
二、定位上兴木马特征码
如何定位木马特征码呢?可以采用手工的方法,不过太过于麻烦,这里我们使用一个叫作MyCCL V1.1 Build 58的工具,实现半自动定位木马特征码,下面以免杀上兴木马 V4.2为例进行介绍:
1.MYCCL简介
常用的定位木马病毒特征码的工具有两款,一款是CCL,另一款就是MYCCL(如图1)。CCL程序出现后,使得特征码修改已经成为了对付杀毒软件的常用手法,但是杀毒软件开始使用多重复合特征码来对付特征码修改就是说只有你同时改掉程序所有的守护特征码此程序才不被杀。CCL这样的定位工具无法直接定位出特征码,要定位复合特征码必须手工划分,而MYCCL是CLL的改进版,可以进行多重特征码的定位,并实现自动化。
