论文部分内容阅读
初识偷梁换柱
一同回到茶馆后,二人落座。茶博士说道:“舒坦,今天老板没在!咱哥俩聊些什么?”刘鼎笑着说:“就聊聊三十六计中的偷梁换柱之计吧!”这时茶馆跑堂的上茶来了,他一听就插嘴:“你们说偷梁换柱啊,我知道,《疯狂的石头》不就是用一个假翡翠去换了那个真翡翠吗?”茶博士见他抢话,“啪”的一声打在他的头上:“错了,明明是用真翡翠换了一个假的。”看来,老板不在,大家活跃了许多。
见他们争论,刘鼎赶紧打圆场:“还是让我来说说吧,此计源自古代军事作战,原文为‘频更其阵,抽其劲旅,待其自败,而后乘之,曳其轮也。’这大意是指,利用偷换的办法,暗中改变事物的本质和内容,以达到蒙混欺骗的目的,如‘偷天换日’、‘偷龙换凤’和‘调包计’等都是这个意思。此计中包含尔虞我诈,乘机控制别人的权术,所以除了军事上,在政治和外交谋略上也用得比较多。”
公孙讲计
听了刘鼎的讲解,这两个人还是一头雾水,他们问道:“这些都是打仗的事儿,在网络安全方面如何使用?”刘鼎喝了口茶,用手指从茶碗中拈出一小截茶根,弹了出去,然后说道:“你们知道,杀毒软件查杀木马,多是根据木马体内的特征码来判断的。因此在网络安全的运用中,偷梁换柱是指利用相同的程序代码,去替换被杀毒软件认定的特征码,或者将这些代码移到其他位置,从而使木马获得免杀的能力。这样,木马就可以放心地在远程系统中驰骋,而不怕被杀毒软件杀掉了。”
“小兄弟真是孺子可教啊!哈哈!”听到这个爽朗的声音,刘鼎立即明白是公孙牧来了,心想:“高手就是高手,每次出场都是这么恰到好处。”于是起身回道:“既然公孙先生来了,那就给我们讲讲偷梁换柱的实际应用吧!”公孙牧笑道:“不急不急,小二来碗绿茶。”茶博士见状,立马跑去端来一碗茶并添好热水。一切就绪后,公孙牧开口:“偷梁换柱应用起来,需要三个步骤。首先分析木马病毒文件中的特征码,然后查找并确定特征码的具体位置,最后进行以免杀为目的的修改。”
实战操作
这时茶博士有些急了,不停地催促公孙牧:“快讲快讲,我在江湖上混,学好后还可以给我的小弟们说道说道。”公孙牧一听,哈哈大笑:“好,那我就先来说道说道。首先,当我们选定一个木马病毒文件后,就要分析其特征码所处的位置。这类分析软件很多,比如常见的CCL、MYCCL和multiCCL等,这里我们就选择MYCCL吧!运行MYCCL后,首先点击其‘文件’按钮导入木马病毒EXE文件,并勾选‘带后缀’选项。接着点击‘目录’按钮设置一个分块目录,默认为‘OUTPUT’目录。然后在‘分块个数’选项中设置分块的个数为10,即把这个木马病毒文件分成10块(以便逐一分析,找出特征码在哪一个块中)。设置完成后,点击‘生成’按钮,分块目录中就生成相应的文件分块了。”
公孙牧说完,就沉默了,仿佛在思考。刘鼎好奇地问道:“先生怎么不讲了啊?”公孙牧回答:“嗯,是这样的,这个过程有些复杂,我在想怎样分步骤来讲才清楚。现在想好了!首先,启动杀毒软件对分块目录进行查杀,当它检测到病毒文件后会对其进行删除处理。然后,返回MYCCL主界面点击‘二次处理’按钮,会出现一个提示框,告知用户‘程序已经找到一处特征码,但是可能还存在其他的特征码,是否继续生成文件进行分析?’,此时点击‘是’按钮。最后,再用杀毒软件对分块目录进行查杀,查杀完成后再次点击‘二次处理’按钮,这样就可以获得一个很大的特征码范围。”
“到此为止,分析特征码的工作还没做完。”公孙牧说道,“接下来我们要缩小特征码的范围,这样便于后面偷梁换柱的操作。首先,点击MYCCL主界面中的‘特征区间’按钮,在右侧的‘填充/特征码 区间设定’窗口中点选刚才找到的那段特征码,并在它上面点击鼠标右键并选择‘复合定位此处特征’命令。接着,在‘分块个数’选项中设置新的分块个数,我们这次将其设置为100个!这样就能有效地缩小特征码的范围。然后,点击‘生成’按钮,再通过杀毒软件对目录里面的新分块进行查杀。再点击‘二次处理’按钮,最后就得到这个木马病毒文件的特征码的精确地址,即0009C9FF。”
茶博士听着公孙牧的讲解,感叹道:“没想到分析病毒的特征码这么难啊!”刘鼎也接着问道:“接下来是不是应该查找并修改这些特征码了呢?”公孙牧点头称是,并笑着说:“不难?不难人人都玩木马病毒了,那网络还不被大家闹翻天?现在,运行反编译软件C32Asm,载入木马病毒文件。选择其鼠标右键中的‘跳转’命令,在弹出窗口的‘OFFSET’处输入特征码的精确地址,点击‘确定’按钮后就跳转过去了。找到特征码以后,点击鼠标右键中的‘对应汇编模式编辑’命令,这样就到了C32Asm的汇编窗口,可以看到这个特征码对应的代码为‘MOV BH.48’。下面点击右键菜单中的“汇编”命令,在弹出窗口中将前面那代码改为‘mov ah.48’,‘确定’后再输入‘mov bh.ah’即可。这里仅用两句代码偷梁换柱,就完成了让木马病毒躲过杀毒软件的操作,从此这个木马病毒就再也不怕杀毒软件了,哈哈!”
尾声
在听完公孙牧的讲述后,茶馆跑堂的先说:“整个操作过程细想下来,还是非常简单的,茶哥你说对吧?”话一刚落,一个耳光就轻轻地“啪”在了跑堂的脸上,茶博士对他说道:“这段时间我在股市天天割肉,你还嫌我赔得不够多吗?从今以后别叫我茶哥(谐音‘割’),知道吗?”跑堂的手捂着脸委屈地问:“那我以后怎么称呼你啊?”茶博士把头一仰,说道:“兄长。”
听完跑堂的和茶博士的对话,公孙牧和刘鼎不由得开心大笑,看来这一对茶馆活宝很有做喜剧演员的天赋啊!欲知后事如何,请看下回分解。
一同回到茶馆后,二人落座。茶博士说道:“舒坦,今天老板没在!咱哥俩聊些什么?”刘鼎笑着说:“就聊聊三十六计中的偷梁换柱之计吧!”这时茶馆跑堂的上茶来了,他一听就插嘴:“你们说偷梁换柱啊,我知道,《疯狂的石头》不就是用一个假翡翠去换了那个真翡翠吗?”茶博士见他抢话,“啪”的一声打在他的头上:“错了,明明是用真翡翠换了一个假的。”看来,老板不在,大家活跃了许多。
见他们争论,刘鼎赶紧打圆场:“还是让我来说说吧,此计源自古代军事作战,原文为‘频更其阵,抽其劲旅,待其自败,而后乘之,曳其轮也。’这大意是指,利用偷换的办法,暗中改变事物的本质和内容,以达到蒙混欺骗的目的,如‘偷天换日’、‘偷龙换凤’和‘调包计’等都是这个意思。此计中包含尔虞我诈,乘机控制别人的权术,所以除了军事上,在政治和外交谋略上也用得比较多。”
公孙讲计
听了刘鼎的讲解,这两个人还是一头雾水,他们问道:“这些都是打仗的事儿,在网络安全方面如何使用?”刘鼎喝了口茶,用手指从茶碗中拈出一小截茶根,弹了出去,然后说道:“你们知道,杀毒软件查杀木马,多是根据木马体内的特征码来判断的。因此在网络安全的运用中,偷梁换柱是指利用相同的程序代码,去替换被杀毒软件认定的特征码,或者将这些代码移到其他位置,从而使木马获得免杀的能力。这样,木马就可以放心地在远程系统中驰骋,而不怕被杀毒软件杀掉了。”
“小兄弟真是孺子可教啊!哈哈!”听到这个爽朗的声音,刘鼎立即明白是公孙牧来了,心想:“高手就是高手,每次出场都是这么恰到好处。”于是起身回道:“既然公孙先生来了,那就给我们讲讲偷梁换柱的实际应用吧!”公孙牧笑道:“不急不急,小二来碗绿茶。”茶博士见状,立马跑去端来一碗茶并添好热水。一切就绪后,公孙牧开口:“偷梁换柱应用起来,需要三个步骤。首先分析木马病毒文件中的特征码,然后查找并确定特征码的具体位置,最后进行以免杀为目的的修改。”
实战操作
这时茶博士有些急了,不停地催促公孙牧:“快讲快讲,我在江湖上混,学好后还可以给我的小弟们说道说道。”公孙牧一听,哈哈大笑:“好,那我就先来说道说道。首先,当我们选定一个木马病毒文件后,就要分析其特征码所处的位置。这类分析软件很多,比如常见的CCL、MYCCL和multiCCL等,这里我们就选择MYCCL吧!运行MYCCL后,首先点击其‘文件’按钮导入木马病毒EXE文件,并勾选‘带后缀’选项。接着点击‘目录’按钮设置一个分块目录,默认为‘OUTPUT’目录。然后在‘分块个数’选项中设置分块的个数为10,即把这个木马病毒文件分成10块(以便逐一分析,找出特征码在哪一个块中)。设置完成后,点击‘生成’按钮,分块目录中就生成相应的文件分块了。”
公孙牧说完,就沉默了,仿佛在思考。刘鼎好奇地问道:“先生怎么不讲了啊?”公孙牧回答:“嗯,是这样的,这个过程有些复杂,我在想怎样分步骤来讲才清楚。现在想好了!首先,启动杀毒软件对分块目录进行查杀,当它检测到病毒文件后会对其进行删除处理。然后,返回MYCCL主界面点击‘二次处理’按钮,会出现一个提示框,告知用户‘程序已经找到一处特征码,但是可能还存在其他的特征码,是否继续生成文件进行分析?’,此时点击‘是’按钮。最后,再用杀毒软件对分块目录进行查杀,查杀完成后再次点击‘二次处理’按钮,这样就可以获得一个很大的特征码范围。”
“到此为止,分析特征码的工作还没做完。”公孙牧说道,“接下来我们要缩小特征码的范围,这样便于后面偷梁换柱的操作。首先,点击MYCCL主界面中的‘特征区间’按钮,在右侧的‘填充/特征码 区间设定’窗口中点选刚才找到的那段特征码,并在它上面点击鼠标右键并选择‘复合定位此处特征’命令。接着,在‘分块个数’选项中设置新的分块个数,我们这次将其设置为100个!这样就能有效地缩小特征码的范围。然后,点击‘生成’按钮,再通过杀毒软件对目录里面的新分块进行查杀。再点击‘二次处理’按钮,最后就得到这个木马病毒文件的特征码的精确地址,即0009C9FF。”
茶博士听着公孙牧的讲解,感叹道:“没想到分析病毒的特征码这么难啊!”刘鼎也接着问道:“接下来是不是应该查找并修改这些特征码了呢?”公孙牧点头称是,并笑着说:“不难?不难人人都玩木马病毒了,那网络还不被大家闹翻天?现在,运行反编译软件C32Asm,载入木马病毒文件。选择其鼠标右键中的‘跳转’命令,在弹出窗口的‘OFFSET’处输入特征码的精确地址,点击‘确定’按钮后就跳转过去了。找到特征码以后,点击鼠标右键中的‘对应汇编模式编辑’命令,这样就到了C32Asm的汇编窗口,可以看到这个特征码对应的代码为‘MOV BH.48’。下面点击右键菜单中的“汇编”命令,在弹出窗口中将前面那代码改为‘mov ah.48’,‘确定’后再输入‘mov bh.ah’即可。这里仅用两句代码偷梁换柱,就完成了让木马病毒躲过杀毒软件的操作,从此这个木马病毒就再也不怕杀毒软件了,哈哈!”
尾声
在听完公孙牧的讲述后,茶馆跑堂的先说:“整个操作过程细想下来,还是非常简单的,茶哥你说对吧?”话一刚落,一个耳光就轻轻地“啪”在了跑堂的脸上,茶博士对他说道:“这段时间我在股市天天割肉,你还嫌我赔得不够多吗?从今以后别叫我茶哥(谐音‘割’),知道吗?”跑堂的手捂着脸委屈地问:“那我以后怎么称呼你啊?”茶博士把头一仰,说道:“兄长。”
听完跑堂的和茶博士的对话,公孙牧和刘鼎不由得开心大笑,看来这一对茶馆活宝很有做喜剧演员的天赋啊!欲知后事如何,请看下回分解。