不知道从什么时候开始,很多网站提供的程序都被捆绑了木马,搞得大家都不敢去下载了,还好,有些大型站点开始规范管理,我们才有了放心下载的地方。可是大型站点并不提供破解版或者keygen,告诉我们还是得去一些小站下载,而且现在的免杀技术非常的成熟杀毒软件终于没装的区别并不是非常的大。那么,该怎么办呢?到下面的文章里寻找答案吧!
目前大家使用的反捆绑技术,就是使用一些捆绑检测工具,或者直接手工缝里那些捆绑木马的文件,这些方法仅仅能针对一些捆绑木马的工具,可是如果捆绑了木马的文件再进行加壳,那么就有很少的工具能够识别出来了。退一步讲,如果捆绑木马文件并没有加壳,但是其中的文件是加密的,执行的时候再解密释放,然后运行,这样的高级捆绑工具,它是不能被其他的软件检测出来的,至少目前我还没有见过这样的检测工具。
那么我们真的要忍受木马对我们的凌辱吗?答案当然是否定的。接下来就看我给大家推荐的方法,准备工具是lcesword,Filemon,Regmon还有我编写的sdb。
我们知道,卡巴斯基等杀毒软件用到了虚拟机技术,就是对价格文件进行简单运行,等到目标文件的壳运行结束,把控制权交给程序之后,他才进行检测。说白了,就是让程序自己解密,然后再进行检测。同样的道理,我们也可以借鉴这个技术。好了,理论基础就说到这里,接下来大家只需要跟着我的操作走,其实你没有任何crack经验,也可以轻松学会。
![6W38}4C_F5G_2SQ8]6T_X`A.png](https://www.weixianmanbu.com/zb_users/upload/2016/12/201612141481698348668803.png)
首先打开SDB启动后将目标文件拖入这个地方,直接输入文件路径就可以了,然后按下回车键。
今天的目标文件是我自己写的一个捆绑文件,我之前找了大量的工具对它进行检测,到目前为止,还没有见过什么工具能够检测出它被捆绑过的东西,今天我们就拿它来做一个实验。
首先我们需要打开Filemon和Regmon,我们需要对它进行分别设置,Filemon只监控打开文件和文件写入,注册表值监控写入。看到这里,或许你会问:文件监控只监控写入就可以了,为什么要把监控打开呢!其实只要学过WIN32编程的人都知道,windows可以搞个文件映射,然后操作,保存后文件的修改时间不会变。换而言之,在Filemon看来,这样根本不能算写文件。我们这样是为了防止比较高级的捆绑工具。当然一般情况下,我们为了方便起见,可以不选打开这个选项。
这些工作都完成后,我们需要打开lcesword创建进程规则,添加一条禁止,其他的默认就可以。这样做是为了防止捆绑木马的文件分离释放木马并运行,当然比较垃圾的捆绑木马工具会释放正常文件和木马文件,我们的正常文件也不会启动。
现在切回SDB按任意键程序运行了。现在我们需要依次按照顺序关闭Regmon,Filemon当然要记得保存他们的日志。如果你不放心这个程序,可以直接按t让它们结束掉,按别的任意键就可以让SDB退出。在这里,我推荐大家按t结束掉它,这样不给这个疑似绑定木马的文件任何机会,防止他来个马后炮,就是在即将关闭的时候释放文件,因为有的文件会在停止运行前来个垂死挣扎。现在清除lcesword从我们窗前的那些规则。接下来我们需要做的就是,分析Filemon和Regmon留下的那些日志,相信这个大家都挺在行,在这里我就不多讲了,需要注意的就是不要把正常文件和木马文件搞混了,那样就白干了。
可能有些读者朋友会感到疑惑,为什么要这样做呢?在这里,我再给大家解释一下,先将文件拖入SDB按回车键,这样这个目标程序就被创建的进程,但是他是挂起的,换而言之,就是他一条指令都不执行。然后启动Filemon和Regmon对他的所有操作进行监控,接着使用lcesword创建了防止运行木马文件的规则,此后的所有进程都将创建不成功。然后按下任意键,目标进程开始跑了起来就是恢复被挂起的线程了,此时的所有动作都被我们的Filemon和Regmon监控,按孝悌强制结束的目标进程,不给它任何机会,这是目标进程已经完全退出,我们在清除掉lcesword的规则,接着你就可以分析剩下来的文件了。
这个方法对于目前市面上99%的捆绑木马文件都有用。可能又有人问那剩下的1%呢!剩下的那些就是对文件做了逆向工程的,木马文件的代码和无辜文件的代码干脆融为一体,不是放任何文件,当然已经无法分离了。