PcShare可算国内最优秀的远程控制软件(soft)之一,其特有的驱动级隐藏(Hide)技术让PS的隐蔽性有了质的提升.可再好的隐藏(Hide)也必须先过安装这一关,由于杀软的特点码库中早已有PS的代码,所以在开监测的情况下,当服务端释放*.D1L和*.SYS两个文件时杀软会报警,所以我们可以得出结论没法儿安装.这时应该做什么?当然是免杀.加壳是没用的,要改特点码.改文件和计算机内存特点码在前几期的黑防都已介绍过,照旧修改就可以.关键PS中有个驱动程序(Procedures)(Procedures)PcHide.SYS,他的特点码又应该怎么修改呢?这里就和大家交流一下含驱动的程序(Procedures)(Procedures)特点码修改,使用的杀软是最新的KV2006,PS使用的是黑基下载的黑盟玫瑰破解完全版.(用盗版只是测试,大家多支持正版.)其他工具包括特点码修改器CCLvII.VII.1,IDA pro IV.VII.OllyDbg,PeInfo,IceSword及UltraEdit.
1.驱动程序(Procedures)(Procedures)PcHide.SYS的修改
上来就是重头戏,先来修改驱动的文件特点码吧.第一步是用CCL确定其特点码位置,CCL的使用过程就不再赘述了,直接或者间接用自动定位功能,检测大小为10,检测范围为text既代码段.直接或者间接看定位结果如下:
0001 000003DC 0000001F 000003FB
0002 000003FC 0000003E 0000043A
0003 00001C78 0000001F 00001C97
0004 00001C98 0000003E 00001CD6
0005 00001CD7 0000003E 00001D15
看看结果,聪明的您应该发现虽然有5处数据(Data),但前2段和后3段分别相连,也就是说PcHide.SYS总共只有两处特点码,分别在000003DC到0000043A和00001C78到00001D15.像这样两处相连而不能是又相隔较远的情况,一般说来两处必须都要修改.(在结果较多且较分散时,判断起来会麻烦一点,所以我给CCL加了个功能,可以很快确定至少要修改几处,修改哪几处.将在下文介绍.)
下面是IDA反汇编,看代码.先来看3DC处.看来不是汇编系统指令.没关系,在IDA中切换到Hex View窗口观查,原来是字符串“D:\PcShare\瘝鐗堟湰\PcHide\objfre\i386\PcHide.pdb”.中间的乱码没关系,因为我们看到了PcShare和PcHide.改字符串最简单的方法是改大小写,原则是不能干扰原文件执行.这里面的字符串给出了一个pdb文件(符号文件?)的路径,虽然我不知道他的具体作用,但大小写改变应该没问题.于是,在UltraEdit中将该处的大写字母全改为小写,完后保存.
光修改这处不行,KV检测一下还可能会报警,也证实了前面的判断——两处都要修改――是正确的.再来看第二处1C78的代码,修改该处代码既是重点又是难点.
…
.text:00011C78 xor ecx, ecx
.text:00011C7A cmp byte_12280, cl
.text:00011C80 jz locret_11D68
.text:00011C86 push esi
.text:00011C87 cli
.text:00011C88 mov eax, cr0
.text:00011C8B and eax, 0FFFEFFFFh
.text:00011C90 mov cr0, eax
.text:00011C93 mov edx, dword_130EC
.text:00011C99 mov edx, [edx]
.text:00011C9B mov esi, dword_130E0
.text:00011CA1 mov eax, ds:ZwQuerySystemInformation
…
修改的难点有二,一是该段中包含跳转系统指令jz,二是系统指令的顺序没法交换.驱动程序(Procedures)(Procedures)是在内核执行的文件,所以修改时一定要注意,能不添加代码就不要添加,尽量不改变原代码的整体大小.所以我们可以得出结论,这里用了个特殊的方法.注意这一句and eax,0FFFEFFFFh.要知道eax是CPU最常用的寄存器,所以我们可以得出结论操作eax的系统指令通常既短小速度也快,我们看一下这句系统指令的十六进制编码:25 FF FF FE FF.很明显,25是系统指令,FFFFFEFF是参数.而不能是and ebx,FFFFFEFF的编码是什么呢?最方便的查看系统指令编码的工具就是OD了,用OD任意打开一个可执行文件(OD不能直接或者间接打开驱动文件),做一下试验,得到编码为:81E3 FFFFFEFF.呵呵,多了一个字节.(看一下Intel系统指令参考就知道,81代表and系统指令,E3代表ebx及操作方式,确实eax的系统指令被优化了.)我们的思路,将这里面的寄存器改为ebx.但多出的一字节怎么办呢,不能将所有的代码都向下平移吧!呵呵,我们要在下面的代码中将这一个字节找回来.看mov edx, dword_130EC,他的编码为:8B 15 EC 30 01 00,足足6字节.把这里面的edx换为eax会如何,同样在OD中键入mov eax,dword ptr ds:[130EC],看到了吧,他的编码为:A1 EC300100,只有5个字节,这样代码的大小就平衡(Balance)了.
还有一个问题要注意,为什么或者说怎么会可以将edx改为eax,如果eax存有其他的值怎么办,那不就改变原程序(Procedures)(Procedures)的执行结果啦.不怎么会的,因为向下三行有这样的代码:mov eax, ds:ZwQuerySystemInformation,说明eax的值在这里被更新,所以我们可以得出结论可以判断出修改eax的值不怎么会影响程序(Procedures)(Procedures)执行.方法已经有了,下面修改.先在OD中将如下代码键入(加黑体的是我们修改的地方.
10003817 0F20C3 mov ebx,cr0
1000381A 81E3 FFFFFEFF and ebx,FFFEFFFF
10003820 0F22C3 mov cr0,ebx
10003823 A1 EC300100 mov eax,dword ptr ds:[130EC]
10003828 8B10 mov edx,dword ptr ds:[eax]
5句代码共19个字节,与未修改时的一样.由于OD不能直接或者间接打开SYS,所以我们用UltraEdit打开PcHide.SYS,直接或者间接修改十六进制数据(Data).修改完后保存,再用KV检测.如何,文件免杀成功.
下面是非常关键的一步,修改文件的校验和(CheckSum).这一步可能是众多网友修改后的驱动根本没有办法加载的原因.用PeInfo打开sys文件,单击CheckSum,程序(Procedures)(Procedures)自动计算出结果,再点修改就可以啦.那么驱动的文件特点码改完了,计算机内存的需不需要改呢?我们来试一下:用驱动加载程序(Procedures)(Procedures)将PcHide.sys加载到计算机内存中,用KV进行计算机内存检测.加载工具用InstDvr(www.rootkit.com/vault/hoglund/InstDvr.zip),运行时输入sys文件全路径,先是Install安装,然后Start开始执行.若显示Operation was successful,表示操作成功.用KV检测,呵呵,检测不到,这样就避免了我们修改计算机内存特点码的麻烦.(没试之前我还真犯愁,CCL暂不具备定位驱动文件计算机内存特点码的功能,这下可以偷懒了,不用再写代码!)
PcClient.dll,PcKey.dll与PcInit.exe的文件特点码修改.PS共包括四个关键文件,除了那个SYS处就是这三个.既然不是驱动程序(Procedures)(Procedures),修改起来真是得心应手.过程就不多说了,只详细说一下改PcClient.dll的,其他直接或者间接给出结果,中间的注意事项会提出来.PcClient第一次定位设置:手动,生成100个文件,范围为整个文件.定位结果为:
0001 00000000 0000028E 0000028E
0002 00002B6E 00000147 00002CB5
0003 000036ED 00000147 00003834
0004 00007D2E 000002D2 00008000
注意,手动检测如果能剩余多个文件不被杀(文件头被覆盖的除外,譬如0001项),说明该文件既使有多处特点码,也只需修改一处既可免杀.看结果,范围较大,我们将定位精度调高,再检测一次.将CCL设置为:手动,替换精度16字节,范围为00002B6E开始处0x147个字节(既选取了0002项),再一次定位结果就一项:
0001 00002C3E 00000070 00002CAE
为什么或者说怎么会我们将精度设为16,结果的范围却这么大,为70.这说明该特点码本身范围较大,任意改动一小处既可搞定.OK,都不用IDA出手,直接或者间接用OD打开PcClient.dll,来到10002C3E处,有如下代码:
…
.text:10002C41 mov edi, [esp+lpServiceName]
.text:10002C45 mov esi, eax
…
.text:10002C81 mov edi, [esp+lpDisplayName]
.text:10002C85 mov esi, eax
…
好爽,最简单的方法,交换顺序既可.保存后再用KV检测,免杀again!下面是其余两个文件的修改,这时我没用手动,而不能是用了自动定位,检测范围就是text段,给出结果先.PcKey.dll这样修改:
.text:10001191 mov esi, eax
.text:10001193 test esi, esi
.text:10001195 jz short loc_100011F7
.text:10001197 mov ecx, 0FFh
.text:1000119C xor eax, eax
.text:1000119E lea edi, [esp+608h+var_400+1]
将test esi,esi换为or esi,esi既可.(晕死,改了一个字节就搞定,服了KV!)PcInit.exe共修改两处,一处是
.text:004016AE stosd
.text:004016AF stosb
第二处是
.text:004017CE test eax, eax
怎么改不用我说了吧.交换顺序,test变or.再检测,成功.到这里,三个文件的文件特点码全部修改成功.这里说一下上文提到的CCL定位结果排列组合功能,譬如在定位PcKey.dll时,自动定位结果为:
0001 00001180 00000070 000011F0
0002 00001790 00000020 000017B0
0003 000017C0 00000010 000017D0
0004 000017E0 00000010 000017F0
精度已经够小了,可四处结果先改哪一处好呢.这时就可以用CCL的该功能:打开PcKey.dll,导入刚才的定位结果,然后点生成.如图4所示.在output文件夹里生成了一些文件名为R_X_XXXXXX的文件.用KV对output文件夹扫描,完后彻底删除报警的文件(这里一个也没有彻底删除),再单击检测钮,CCL会给出如下结果:
只修改一处特点码时,仅需修改
第 1 处
或者是 第 2 处
或者是 第 3 处
或者是 第 4 处
同时修改两处特点码时,可以修改
第 1 处 和 第 2 处
或者是 第 1 处 和 第 3 处
或者是 第 1 处 和 第 4 处
或者是 第 2 处 和 第 3 处
或者是 第 2 处 和 第 4 处
或者是 第 3 处 和 第 4 处
同时修改三处特点码时,可以修改
第 1 处 ,第 2 处 和 第 3 处
或者是 第 1 处 ,第 2 处 和 第 4 处
或者是 第 1 处 ,第 3 处 和 第 4 处
或者是 第 2 处 ,第 3 处 和 第 4 处
这说明只需任意修改一处既可.爽吧,不用一个个去试了!
3.计算机内存特点码的修改
过去我们已经验证了瑞星杀毒软件(soft)的文件和计算机内存用了两套特点码,现在KV也具备了计算机内存检测功能,是否也同样是两套特点码呢?我试了一下,生成服务端并用KV检测,不报警,说明文件特点码已成功修改.但双击运行一下,告知没有权限或者是不管怎么也找不到文件,一切对服务端文件的操作都给禁止了,这肯定是KV搞的鬼.原理我不太清楚了,可能是KV虚拟机执行后检测到计算机内存特点码吧,但这说明一个问题:计算机内存特点码也得改!
定位计算机内存特点码时可每一回合点停止,并用KV检测计算机内存,根据报警文件的名称选择(Choose)CCL的复选框,再单击运行,进入下一回合,直到最后CCL给出结果.至于KV提示的“是否清除”,点否既可.
过程不讲了,直接或者间接给结果.对于PcClient.dll,将10002C49处的call 10002BA0改为call 10002C67,并在10002C67处的空白添加如下代码:
10002C67 E8 34FFFFFF call PcClient.10002BA0
10002C6C C3 retn
相当于做了一个间接的CALL.
第二个PcKey.dll在改完文件特点码后直接或者间接计算机内存免杀,检验的方法为用OD加载,并用KV检测计算机内存,dll和exe方法一样.
就剩下PcInit.exe了,还真有点麻烦,因为会出现定位结果处怎么修改都不行的情况,下面边说边解释,并给出解决方法.PcInit.exe的计算机内存特点码定位结果倒是很简单,就一处:
0001 00001798 00000010 000017A8
该处代码为:
00401798 je PcInit.00401A58
0040179E mov eax,dword ptr ss:[ebp-20]
004017A1 cmp eax,dword ptr ds:[esi+8]
004017A4 jnz PcInit.00401A58
修改起来很简单,将je处的跳转地址改为一个空白地址004025E0,在空白处添加一个jmp就可以啦:004025E0 jmp PcInit.00401A58.可这样修改后,用OD加载仍旧报警.我在这里耽误了好一段时间,最后决定改一下入口试一试.在空白处添加新的入口:
004025E5 68 3C244000 push PcInit.
004025EA 58 pop eax
004025EB FFE0 jmp eax
保存后用PeInfo将PcInit.exe的入口改为000025E5.保存修改后再用OD加载并用KV检测计算机内存,呵呵免杀.看来杀软的特点码判断确实和入口处代码(或者是偏移)相关,至少对待一部分程序(Procedures)(Procedures)是这样.
4.效果(Effect)检测及PcShare的卸载
由于我没有肉鸡,所以只能在自已机器上检测一下运行情况,而不能是能否正常工作(Work)就不试了,应该没问题.先生成服务端,再打开KV的全部监视,双击运行.嘿嘿,服务端的图标一闪就没了,而不能是KV丝毫没有查觉.打开IcsSword,在SSDT里查看PS驱动是否加载.如图5所示,列表中红色的Yxxxxxxx.sys就是PS的核心,PS的文件名总是以Y开头,后面7个字母随机.还有几行红色的KRegEx.sys是什么呢?那是KV的驱动.查看进程,多了个iexplorer.exe,关闭他马上又会重新启动操作系统操作系统,这是因为在一个svchost.exe的进程中有守护线程.
打开KV,此时不管您用计算机内存检测还是文件检测都没有用了.(如果可以检测出来,当初KV是不怎么会让PS加载的.)顺便讲一下彻底删除的方法,先在IceSword里面的File里将Microsoft Windows\system32\drivers\Y*.sys彻底删除,再重新启动操作系统操作系统动电脑.这时另一个被释放的文件Microsoft Windows\system32\Y*.D1L及注册表(Regedit)中的数据(Data)就现身了,彻底删除之(也可以启动操作系统到DOS下彻底删除).在注册表(Regedit)里查找Y*,彻底删除所有项就OK了.btw:IceSword确实猛!
结语:
看来靠无休止的升级杀毒软件(soft)和打补丁是没法儿保证电脑的安全的,主要还是用户的安全意识和水(Water)平的提高.介绍这一个方法不是让大家都去改马,而不能是是探讨一种方法,也是为了杀软更好的进步. -------
深奥,学习中,做好ghsot就不用怕了,安全方便 -------
太高深了,需要慢慢领悟.
