目   标： 制作 免杀 的flux 1.0 服务端
工   具: flux 1.0、ASPACK、OllyDbg 1.09C中文版、BoLer
      PEiD.exe、PEditor.exe、reloc、UPXShell、特征码定位器CCL
-----------------------------------------------------------------------
修改所要达到的目的和方法：
             
目的 ： 一、 内存免杀               二、 文件免杀
          ↓               _________/     \_________
          ↓             ↓                 ↓
方法 ： 修改内存特征代码   ①修改文件特征代码 ②加壳、壳变形、加花指令
------------------------------------------------------------------------
步骤：
1.内存免杀
2.upx加壳
3.upx壳变形
4.ASPACK加壳
5.加花指令
6.简单演示修改文件特征代码
------------------------------------------------------------------------
很多人想要这个动画，于是我今天做了，呵呵！我们开始吧。首先请大家注意，
瑞星的文件特征代码 和 内存特征代码是 2 套不同的代码。
先做内存免杀，再做文件免杀，这个次序不要颠倒了。

一.内存免杀

不知道大家发现没有朋友之家原来出的那款免杀的flux 过不了瑞星的内存查杀，
那么这是为什么呢？ 难道过内存的真的这么难吗？

我现在告诉大家为什么难。flux1.0.exe 是 flux的服务端。看到没有货真价实吧！
用OllyDbg 打开，再用瑞星杀内存，瑞星杀不到，我的这个flux的服务端
是绝对没有加壳的。大家可以 自己测试！但是木马运行以后 瑞星是绝对可以杀的。
也就是说用 特征码定位器CCL 做内存特征代码定位 定位不出flux的服务端的特征代码。
我们来看看，大家可以 自己测试。

现在大家明白了为什么做过内存的flux 这么难了吧！不过也不是没有一点办法，用过
BoLer的都知道，它做文件免杀非常好，我们用杀毒软件杀，杀完以后找一个可以运行的
木马就是免杀的了。那么我们换个思路，先用BoLer 生成大量的flux服务端，然后一个个
运行它们，把可以运行的找出来，发现一个可以运行的，运行以后就用瑞星查一次内存，
直到找出既可以运行又可以过瑞星内存的为止。虽然烦琐但是很实用，我想暂时也没有
什么比这个更好的办法了。如果有的话请联系本人 QQ：78941849，嘿嘿！
这里很简单大家自己试，运气好30分钟就可以找出一个过瑞星内存的。

二.文件免杀

上面讲了文件免杀可以用到的2种办法：①修改文件特征代码、 ②加壳、壳变形、加花指令
当然你也可以把两种方法结合起来。

现在我们先讲：②加壳、壳变形、加花指令

我个人认为这种方法是很完美的，而且简单，应用广泛。
在测试中可以通过：瑞星、kv 、卡巴、金山、诺盾，的文件查杀。

一、加壳、壳变形、加花指令
1.upx加壳

    File size       Ratio     Format     Name
  --------------------   ------   -----------   -----------
  20759 ->   14103   67.93%   win32/pe   flux1.0.exe

2.upx壳变形

看到没有 区段的入口改变了，reloc 的具体使用请看我在黑客手册 6月发表的一篇文章，
名字是：黑洞2005免杀技术-壳中改籽篇 。

好了，我们来看看经过 壳变形 后，杀毒软件还杀不杀。看到没有就怎么简单2下，kv和
瑞星两大国内的杀毒就不杀了，但是卡巴还杀，原来我装了诺盾的时候，测试诺盾也还杀！

3.ASPACK加壳
主要是给我们加花指令提供空间。

4.加花指令

00409001 入口

0040A046 新入口

加花指令我只是简单演示了一下，你还可以多加几道，告诉你

跳转
somewhere:            
    nop             /"胡乱"跳转的开始...
    jmp 下一个jmp的地址   /在附近随意跳
    jmp ...           /...
    jmp 原入口的地址     /跳到原始oep

--------------------------------------------------
新入口: push ebp
    mov ebp,esp
    inc ecx
    push edx
    nop
    pop edx
    dec ecx
    pop ebp
    inc ecx
    loop somewhere     /跳转到上面那段代码地址去！

跳转 花指令 加在c ++ 的后面，多跳几次过卡巴是最容易的了，呵呵·
算是一个小窍门吧·

二.简单演示修改文件特征代码

瑞星和 卡巴 的特征代码我都定位过了，因为帮人修改过很多，
我现在基本可以背下来。

这一段入口处的代码就是瑞星的特征代码中的一段。
00405080   |. 57       push edi
00405081   |. E8 3B070000 call flux1_0.004057C1
00405086   |. 33C0     xor eax,eax
00405088   |. 40       inc eax
00405089   |> 5F       pop edi
0040508A   |. 5E       pop esi
0040508B   |. 5B       pop ebx
0040508C   |. C9       leave
0040508D   \. C3       retn
0040508E f>/$ 55       push ebp
0040508F   |. 8BEC     mov ebp,esp
00405091   |. 83EC 44   sub esp,44
00405094   |. 56       push esi
00405095   |. FF15 381040>call dword ptr ds:[<&KERNEL32.GetC>; [GetCommandLineA

卡巴在 入口这里也有一段，特征码定位器CCL 定位的结果是0040508E 向下 200 ，
这个范围真的是太大了，呵呵· 怎么都不好改！`

那么我现在告诉你怎么简单一点。先找空白段：00405CEF ，再把入口的这段点代码
nop掉。再跳到 空白段：00405CEF，看到了吗，瑞星这样简单就不杀了。

我们把刚刚nop 掉的指令写到空白段：00405CEF，不然就木马就用不了。jmp 到00405095
这样就把 那段特征代码 整体跳走了。现在保存以后，瑞星的免杀就做完了，接着我们把卡巴
和kv 一起做了。

我刚刚的操作是加了一道c++的花指令然后跳转到入口，再把00405CFD 修改为程序的入口，
当然你在c++ 花指令的后面还可以加 跳转 的花指令，这样更保险。

现在我们用 PEiD ，显示的是无效的文件，但是可以运行的，绝吧！ 哈哈

现在kv 也就过了·~~ 一个星期没有改了，kv 又把查杀的力度加到了，
呵呵。不过没关系，把跳转 指令加上就没有问题了。

我还是推荐你用：一、加壳、壳变形、加花指令 的方法来对付 杀毒软件的文件
查杀，呵呵#！

当然你也可以把两种方法结合起来 ①修改文件特征代码、 ②加壳、壳变形、加花指令。

那就更无敌了，好了，88