活学活用木马免杀之文件加密篇
网络安全
对程序代码进行加密操作的方法,本来是用来防止被他人进行非法破解的,但是被黑客发现后加以灵活运用,成为黑客进行免杀的一个主要方法。那么文件加密又是如何迷惑杀毒软件的呢?
文件加密是将应用程序中的源代码进行重新编码,这样利用通常的方法再查看这个文件,就会发现文件的部分或者全部内容都是乱码。
文件加密的同时会生成一个唯一的解密密码,并且会将这个密码写入到加密的文件中,在程序运行时就会自动读取其中的密码并进行解密,但是整个过程程序中的源代码不会暴露。由于无法正确获取到程序的源代码,因此杀毒软件无法和自己的病毒库进行比对,这样也就成功地迷惑了杀毒软件眼睛,最终完成了免杀的操作。
第一步:入口点的更改
现在的杀毒软件常常从文件的入口点进行操作,因此在很多时候只需要将入口点进行修改即可。这就好像武林高手,知道其他人可能会点你的穴道,因此在此之前就将穴道移开。首先利用最常见的入口点加一的方法,来对相关的文件进行加密操作。
首先运行PEditor这款软件修改程序,点击“浏览”按钮选择需要修改的一款扫描工具WebDAVScan。PEditor会自动读取文件的相关信息,这里我们只需要对“入口点”信息进行修改就可以了。该程序的“入口点”显示为00002A44,这里将入口点加一改成00002A45后,最后点击“应用更改”按钮进行保存即可(如图1)。
第二步:内容加密
现在我们再运行MaskPE这款加密程序,它是一款自动修改PE文件的软件,其最大的特点就是对程序中的某个区段进行整体加密。通过程序窗口中的“Load File”按钮来选择文件,接着在程序的“Select Information”列表中选择“Base Relocation Table Informat”这个项目,因为这个项目的加密效果是最好的,当然大家也可以试一试其它的选项。
然后在后面的下拉列表中点击“TYPE3”,其中“TYPE1”代表简单加密、“TYPE2”代表简单移动、“TYPE3”代表简单加入口(如图2)。最后点击“Make File”按钮对文件加密,并且进行另存为设置。如果用户觉得有必要的话,还可以利用MaskPE对服务端程序进行多重加密处理。
第三步:重点信息加密
现在非常流行通过VMProtect对文件进行加密,VMProtect是一种新一代的软件保护程序。它通过在虚拟机中完成相关代码部分的保护,超强的保护力使得杀毒软件检测过程复杂化。通过VMProtect进行加密操作,通常都是对文件的特征码地址,或者文件的入口点地址进行加密。尤其是在不知道特征码地址的时候,对入口点的几行代码进行加密,就能起到非常好的免杀保护作用,毕竟多数杀毒软件都在入口点提取特征码。
运行VMProtect后点击“打开”按钮,来选择免杀的扫描工具WebDAVScan。首先点击程序的“转储”标签找到文件的入口点,在它上面点击鼠标右键中的“复制”命令。接着点击工具栏中的“新建”命令,这时程序已经自动地将刚刚复制的内容添加到输入框中。
我们可以在“编译类型”中选择需要的选项,直接点击“是”按钮即可得到00402A44这段地址的信息。利用同样的方法可以添加多个地址段,现在接着点击工具栏中的“编译”按钮,就可以生成一个名为“WebDAVScan.vmp.exe”的加密文件了(如图3)。
总结
文件加密虽然可以迷惑杀毒软件的眼睛,但是却无法躲过其它相关的检测手段,比如说主动防御。因为无论是木马、病毒还是流氓软件,每一种恶意程序都有自己的特点,主动防御功能就会根据这些特点对程序是否危险作出判断。另外如果你的系统已经不幸中了木马程序,有的网络防火墙也可以根据木马传输数据的特点,来对木马的类型作出准确而及时的判断。