Gh0st 1.0远控木马VIP版本配置教程
Gh0st是这款十分出色的开源系统远程控制软件,由红狼工作组的Cooldiyer开发设计。开源系统3.6公布后过段时间,创作者对其进行很多重写并公布1.0 Alpha,这一版本号是有VIP的,因为我荣幸搜集到一整套。 如果你得到1个他人的免杀木马你要干什么,学习培训免杀方式?也许由发觉你得到的样版你手头上的操纵端能够极致适配,你要把配备信息内容改动了写个专版生成器吗?想?你就跟我来吧!(我觉得你看了稿子也不容易写,因为我沒有写过)
enter image description here
0x01 剖析全过程
文中采用的Ollydbg快捷键:
F9 运作程序流程/再次运作F8 步过编码,碰到CALL非常容易跑飞提议不要用F7 跟踪,不易跑飞程序流程。F2 下断点,随后F9能够绕过某些代码段。F4 实行到选定行,常见。
想写生成器吗,必要条件要先把配备信息内容加密解密优化算法给解了,这儿我在服务器端exe下手,也不从生成器上着手了,终究人们大部分状况只能服务器端exe样版。
enter image description here
特别注意看生成器下边“GH0STC+客户配备信息内容+GH0STC”,这就是说人们要破译的字符串。倘若人们如今才捉到服务器端exe如何找配备?通常状况能形象化迅速寻找的,1、写在資源文档里边 2、写在exe、dll尾端额外统计数据上。(我写DRAT的那时候这二种都用过),人们用C32ASM专用工具16进制编写。移到最终发觉文档尾端有配备信息内容。大伙儿是不是感觉有点儿简易…… 难的篇数很大没有文中考虑到范围之内。
enter image description here
下边人们用动态性调节专用工具Ollydbg开启,设定CreateFileW涵数断点,这儿我用专用工具立即设定,你还可以应用bp CreateFileW指令设定。需不需要那么做?它要载入本身配备确实要“开启自个”因此断点设定在这一涵数最好,或许也是别的方式没有文中探讨范畴,随后按F9把执行程序起來。
enter image description here
enter image description here
如圖如图所示的那时候(要不是得话再次按F9),人们按ALT+F9回到程序流程,按两下F8往下走。见到ReadFile涵数也有CloseHandle、空格符GH0STC,这一那时候就表明程序流程早已把“配备”载入完后,正常情况下应当提前准备进到破译了。因此下边出現的CALL启用必须十分特别注意(通常要按F7进到,请别按F8了将会会绕过重要)
enter image description here
见到这一CALL,人们用F7跟踪,随后按好几个F8直至下个CALL。
004015F3 |. E8 88FEFFFF CALL server.00401480n………………
enter image description here
enter image description here
见到重要优化算法CALL(00401527,置于如何分辨的我只有说我事前做过完课了,实践活动中大伙儿要多试试),人们還是用F7跟踪(别的没用一部分你能用F2+F9或F4绕过只能)。
00401527 |. E8 B4FEFFFF CALL server.004013E0
在F7跟入就可以看
enter image description here
00401404 |> /8A1401 /MOV DL,BYTE PTR DS:[ECX+EAX]
00401407 |. |80EA 08 |SUB DL,8
0040140A |. |80F2 20 |XOR DL,20
0040140D |. |881401 |MOV BYTE PTR DS:[ECX+EAX],DL
00401410 |. |41 |INC ECX
00401411 |. |3BCE |CMP ECX,ESI
00401413 |.^\7C EF \JL SHORT server.00401404
它是破译优化算法重要一部分记录下来详细地址,人们这儿换一个专用工具用IDA看一下这一涵数(004013E0)。 提醒:IDA迅速自动跳转详细地址快捷键是”G”,
enter image description here
掉转去之后我很喜欢用F5软件(Hex-Rays Decompiler),这儿我立即按F5看C编码了(一部分实际操作也不截屏装B了,客观事实是也没有什么必须好截的)。
enter image description here
比照下OD里边的汇编编码渐渐地品,你会发现重要编码就两行。
00401407 |. 80EA 08 |SUB DL,80040140
Gh0st是这款十分出色的开源系统远程控制软件,由红狼工作组的Cooldiyer开发设计。开源系统3.6公布后过段时间,创作者对其进行很多重写并公布1.0 Alpha,这一版本号是有VIP的,因为我荣幸搜集到一整套。 如果你得到1个他人的免杀木马你要干什么,学习培训免杀方式?也许由发觉你得到的样版你手头上的操纵端能够极致适配,你要把配备信息内容改动了写个专版生成器吗?想?你就跟我来吧!(我觉得你看了稿子也不容易写,因为我沒有写过)
enter image description here
0x01 剖析全过程
文中采用的Ollydbg快捷键:
F9 运作程序流程/再次运作F8 步过编码,碰到CALL非常容易跑飞提议不要用F7 跟踪,不易跑飞程序流程。F2 下断点,随后F9能够绕过某些代码段。F4 实行到选定行,常见。
想写生成器吗,必要条件要先把配备信息内容加密解密优化算法给解了,这儿我在服务器端exe下手,也不从生成器上着手了,终究人们大部分状况只能服务器端exe样版。
enter image description here
特别注意看生成器下边“GH0STC+客户配备信息内容+GH0STC”,这就是说人们要破译的字符串。倘若人们如今才捉到服务器端exe如何找配备?通常状况能形象化迅速寻找的,1、写在資源文档里边 2、写在exe、dll尾端额外统计数据上。(我写DRAT的那时候这二种都用过),人们用C32ASM专用工具16进制编写。移到最终发觉文档尾端有配备信息内容。大伙儿是不是感觉有点儿简易…… 难的篇数很大没有文中考虑到范围之内。
enter image description here
下边人们用动态性调节专用工具Ollydbg开启,设定CreateFileW涵数断点,这儿我用专用工具立即设定,你还可以应用bp CreateFileW指令设定。需不需要那么做?它要载入本身配备确实要“开启自个”因此断点设定在这一涵数最好,或许也是别的方式没有文中探讨范畴,随后按F9把执行程序起來。
enter image description here
enter image description here
如圖如图所示的那时候(要不是得话再次按F9),人们按ALT+F9回到程序流程,按两下F8往下走。见到ReadFile涵数也有CloseHandle、空格符GH0STC,这一那时候就表明程序流程早已把“配备”载入完后,正常情况下应当提前准备进到破译了。因此下边出現的CALL启用必须十分特别注意(通常要按F7进到,请别按F8了将会会绕过重要)
enter image description here
见到这一CALL,人们用F7跟踪,随后按好几个F8直至下个CALL。
004015F3 |. E8 88FEFFFF CALL server.00401480n………………
enter image description here
enter image description here
见到重要优化算法CALL(00401527,置于如何分辨的我只有说我事前做过完课了,实践活动中大伙儿要多试试),人们還是用F7跟踪(别的没用一部分你能用F2+F9或F4绕过只能)。
00401527 |. E8 B4FEFFFF CALL server.004013E0
在F7跟入就可以看
enter image description here
00401404 |> /8A1401 /MOV DL,BYTE PTR DS:[ECX+EAX]
00401407 |. |80EA 08 |SUB DL,8
0040140A |. |80F2 20 |XOR DL,20
0040140D |. |881401 |MOV BYTE PTR DS:[ECX+EAX],DL
00401410 |. |41 |INC ECX
00401411 |. |3BCE |CMP ECX,ESI
00401413 |.^\7C EF \JL SHORT server.00401404
它是破译优化算法重要一部分记录下来详细地址,人们这儿换一个专用工具用IDA看一下这一涵数(004013E0)。 提醒:IDA迅速自动跳转详细地址快捷键是”G”,
enter image description here
掉转去之后我很喜欢用F5软件(Hex-Rays Decompiler),这儿我立即按F5看C编码了(一部分实际操作也不截屏装B了,客观事实是也没有什么必须好截的)。
enter image description here
比照下OD
相关文章
- 5条评论
馥妴婉绾2022-06-01 11:36:58- 重写并公布1.0 Alpha,这一版本号是有VIP的,因为我荣幸搜集到一整套。 如果你得到1个他人的免杀木马你要干什么,学习培训免杀方式?也许由发觉你得到的样版你手头上的操纵端能够极致适配,你要把配备信息内容改动了写
澄萌迷麇2022-06-01 17:12:16- 到的样版你手头上的操纵端能够极致适配,你要把配备信息内容改动了写个专版生成器吗?想?你就跟我来吧!(我觉得你看了稿子也不容易写,因为我沒有写过)enter image description here 0x01 剖析全过程文中采用的Ollydbg快捷键:F9 运作程序流程/再次运
柔侣遐迩2022-06-01 15:02:08- 址,人们这儿换一个专用工具用IDA看一下这一涵数(004013E0)。 提醒:IDA迅速自动跳转详细地址快捷键是”G”,enter image description here掉转去之后我很喜欢用F5软件(Hex-Rays Decomp
闹旅软酷2022-06-01 09:49:46- FFF CALL server.00401480n………………enter image description hereenter imag
萌懂依疚2022-06-01 16:24:33- 用F5软件(Hex-Rays Decompiler),这儿我立即按F5看C编码了(一部分实际操作也不截屏装B了,客观事实是也没有什么必须好截的)。enter image description here比照下OD
滇ICP备19002590号-1