转自:http://blog.hacksafe.org/article.asp?id=62

一:首先认识网络上的各版本网马


   首先认识  MS-06014 MS-06040 MS-06042

   那么,网络上的大部分最新的网马生成器,也就是利用这些漏洞来制作网马的

   其实,网马他很简单,我们从原理来学习他。

   别看网络上的网马生成器,非常的多,其实,都是一个模式出来的。

   就像QQ木马一样,都是一个源代码弄出来的

二:认识网马代码

   那么,8月份的MS-06014漏洞

   现在网络上的大部分稳定的网马生成器,也就是延用这个漏洞。

   他的网马生成器所生成的原装网马代码的是最早的占有者等。

   这里,我们查看 MS06014 中华网络 所生成的网马

   这个就是原装的代码,
  
   那么,我们通过比对,就能知道,网络上的这些个天花乱坠的网马生成器原形


三:通过对比,我们来学习,如何来制作免杀的网马


    首先,我们查看和对比,最新的免杀网马所生成的网马与原装代码不同之处

   通过学习,了解,这些其貌不一的网马到底是如何各自不同的制作各自的免杀

(我们主要学习,最新的MS-06014网马,因为现在网络上大部分稳定的网马生成器都是由他变异而来)
  
  


四:举列子

   首先,我们查看 MS-06014 代码中可以用来制作免杀的变量


"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"  
"object"
"classid"
"Microsoft.XMLHTTP"
"GET"
"s cripting.FileSystemObject"
"Shell.Application"
  
首先,我们拿 "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" 举列

然后到,免杀网马中,找到经过免杀处理后的这一句,我们就能知道,大家是如何通过变形这句代码

达到免杀的

列一:蓝防收费版变异代码
    j1="clsid:"
    j2="BD96C556-"
    j3="65A3-"
    j4="11D0-"
    j5="983A-"
    j6="00C04FC29E36"
    j7=j1&j2&j3&j4&j5&j6


然后在网马代码中的 "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" 里面的

                   clsid:BD96C556-65A3-11D0-983A-00C04FC29E36 替换成 j7

                也就是"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"="j7"

具体我们可以查看最新的蓝防免杀网马


列二:老丁内部网马变异代码

   U1="c"
    Bs="l"
    Bg="s"
    UN="i"
    Io="d"
    Ul=":"
    Y3="BD"
    Os="96"
    I2="C5"
    I8="56-"
    J3="65"
    ob="A3-"
    P4="11"
    sy="D0-"
    Q5="98"
    U0="3A-"
    E6="00C"
    Ug="04F"
    Xn="C29"
    Ij="E36"
    M7=u1&Bs&Bg&un&io&ul&Y3&Os&i2&i8&j3&ob&p4&sy&q5&u0&e6&Ug&xn&Ij

变异的无所谓不短哈~

还是一样,

经过这样变异后
"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"="j7"


列三:NCPH变异代码

c1 ="clsid:BD"
c2="96C556-65A3-11"
c3="D0-983A-00C04F"
c4="C29E36"

大家看到这句,HOHO~他并没有 在尾部升明 a1=b1&b2....这样的形式,他的变异是缺少了吗?

其实他不升明,只需要在原装代码中的

"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"替换成 "c1+c2+c3+c4"

--------------------------------------------------------------------------------------------------------------------------------------


                        二  实践操作

                变异"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"

                拥有属于自己的个性免杀

     如果你仔细的看了上面的列子,结合你的思考,通过你的学习

   你应该懂得呢,如何去变异这些代码,

   如果我们学会,以后不管什么漏洞,不管什么代码,原理掌握了,我们顺手就能免杀

那么我呢,就举列变异一次

  弄个简单的,@-@

首先

在代码中升明,恩,告诉系统,我们已经把某某代码,替换成某某代码了,别读写错误拉`

也就是 "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
                  
zhonghua1="clsid"
zhonghua2="BD96C556"
zhonghua3="-65A3"
zhonghua4="-11D0"
zhonghua5="-983A"
zhonghua6="-"
zhonghua7="00C04FC29E36"
zhonghuahk1=zhonghua1&zhonghua2&zhonghua3&zhonghua4&zhonghua5&zhonghua6&zhonghua7

貌似分离大法,~-~HOHO,把机器人的手脚分开,等你检查我不是机器人后,偶再组合起来

好拉,不多举列拉,再举教程就太大拉~-`

                        三:生成属于自己的免杀网马

   这里,我们来招卑鄙的

  在别人网马变异过后的基础上,我替换掉一句,然后,生成~HOHO~~

  这样,完美的属于自己的网马就不小心弄好拉~


  这里我们使用 蓝防收费版免杀网马 使用MS-06014漏洞变异网马
   (这网马人家可是说提高中率百分之五十哦,不用白不用)

  然后用
zhonghua1="clsid"
zhonghua2="BD96C556"
zhonghua3="-65A3"
zhonghua4="-11D0"
zhonghua5="-983A"
zhonghua6="-"
zhonghua7="00C04FC29E36"
zhonghuahk1=zhonghua1&zhonghua2&zhonghua3&zhonghua4&zhonghua5&zhonghua6&zhonghua7


替换掉

      m3="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"

接着在将下面的M3换成zhonghuahk1