未加星标

教你解密Gh0st 1.0远控木马VIP版配置信息

字体大小 | |
[web安全 所属分类 web安全 | 发布者 店小二04 | 时间 20141104 | 作者 New4 ] 0人收藏点击收藏
0x00 简介

Gh0st是一款非常优秀的开源远程控制软件,由红狼小组的Cooldiyer开发。开源3.6发布后一段时间,作者对其进行大量重写并发布1.0 Alpha,这个版本是有VIP的,我也有幸收集到一套。 当你拿到一个别人的免杀木马你想做什么,学习免杀方法?而你由发现你拿到的样本你手头的控制端可以完美兼容,你想把配置信息修改了写个专版生成器吗?想?那就跟我来吧!(其实你看完文章也不会写,我也没有写过)


教你解密Gh0st 1.0远控木马VIP版配置信息
0x01 分析过程

本文用到的Ollydbg快捷键:

F9 运行程序/继续运行 F8 步过代码,遇到CALL容易跑飞建议少用 F7 跟进,不容易跑飞程序。 F2 下断点,然后F9可以跳过一些代码段。 F4 执行到所选行,常用。

想写生成器吗,前提条件要先把配置信息加密解密算法给解了,这里我从服务端exe入手,就不从生成器上下手了,毕竟我们多数情况只有服务端exe样本。


教你解密Gh0st 1.0远控木马VIP版配置信息

注意看生成器下面“GH0STC+用户配置信息+GH0STC”,这就是我们要解密的字符串。假如我们现在才抓到服务端exe怎么找配置?一般情况能直观快速找到的,1、写在资源文件里面 2、写在exe、dll尾部附加数据上。(我写DRAT的时候这两种都试过),我们用C32ASM工具16进制编辑。拖到最后发现文件尾部有配置信息。大家是否觉得有点简单…… 难的篇幅太大不在本文考虑范围内。


教你解密Gh0st 1.0远控木马VIP版配置信息

下面我们用动态调试工具Ollydbg打开,设置CreateFileW函数断点,这里我用工具直接设置,你也可以使用bp CreateFileW命令设置。为什么要这么做?它要读取自身配置肯定要“打开自己”所以断点设置在这个函数最合适,当然也有其他方法不在本文讨论范围,然后按F9把程序运行起来。


教你解密Gh0st 1.0远控木马VIP版配置信息

教你解密Gh0st 1.0远控木马VIP版配置信息

如上图所示的时候(如果不是的话继续按F9),我们按ALT+F9返回程序,按几下F8向下走。看到ReadFile函数还有CloseHandle、字符GH0STC,这个时候就说明程序已经把“配置”读取完了,正常情况下应该准备进入解密了。所以下面出现的CALL调用都要非常注意(一般要按F7进入,不要再按F8了可能会跳过关键)


教你解密Gh0st 1.0远控木马VIP版配置信息

看到这个CALL,我们用F7跟进,然后按多个F8直到下一个CALL。

004015F3|.E8 88FEFFFF CALL server.00401480 n…… …… ……
教你解密Gh0st 1.0远控木马VIP版配置信息

教你解密Gh0st 1.0远控木马VIP版配置信息

看到关键算法CALL(00401527,至于怎么判断的我只能说我事先做过功课了,实践中大家要多试试),我们还是用F7跟进(其他无用部分你可以用F2+F9或F4跳过即可)。

00401527|.E8 B4FEFFFF CALL server.004013E0

在F7跟入就可以看到


教你解密Gh0st 1.0远控木马VIP版配置信息
00401404|> /8A1401/MOV DL,BYTE PTR DS:[ECX+EAX] 00401407|. |80EA 08 |SUB DL,8 0040140A|. |80F2 20 |XOR DL,20 0040140D|. |881401|MOV BYTE PTR DS:[ECX+EAX],DL 00401410|. |41|INC ECX 00401411|. |3BCE|CMP ECX,ESI 00401413|.^\7C EF \JL SHORT server.00401404

这是解密算法关键部分记下地址,我们这里换个工具用IDA看看这个函数(004013E0)。 提示:IDA快速跳转地址快捷键是”G”,


教你解密Gh0st 1.0远控木马VIP版配置信息

转过去以后我喜欢用F5插件(Hex-Rays Decompiler),这里我直接按F5看C代码了(这部分操作就不截图装B了,事实是也没什么需要好截的)。


教你解密Gh0st 1.0远控木马VIP版配置信息

对比下OD里面的汇编代码慢慢品,你会发现关键代码就两行。

00401407|.80EA 08 |SUB DL,8 0040140A|.80F2 20 |XOR DL,20

有一个字符,减8和异或20的操作。

for (i = 0; i < len; i++) { data[i] -= 0x8; data[i] ^= 0x20; }

到这里我们已经找到关键算法部分,你可能没弄明白还是不知道怎么办。看下图的现成工具,实在懒的话自己百度找,或者你找一下gh0st 3.6开源代码然后差不多的改改就能用来解密了。

0x02 课后作业

留下三个作业给喜欢折腾的同学: 1、继续看下004010D0函数作用(看了没看明白看下3.6代码)

2、对比一下gh0st 3.6加密解密字符和1.0有什么区别(其实最关键部分我已经说了,其他都是除了头尾“GH0STC”不一样其他没变化)

3、写个配套生成器,还是参考3.6代码改改就行。

我这里就不发样本和其他附件了,有需要的来“暗组”论坛。你想要的这里都有!

下面在附上1.0字符串解密核心代码: decode.h

static char base64[] = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"; static int pos(char c) { char *p; for(p = base64; *p; p++) if(*p == c) return p - base64; return -1; } int base64_decode(const char *str, char **data) { const char *s, *p; unsigned char *q; int c; int x; int done = 0; int len; s = (const char *)malloc(strlen(str)); q = (unsigned char *)s; for(p=str; *p && !done; p+=4){ x = pos(p[0]); if(x >= 0) c = x; else{ done = 3; break; } c*=64; x = pos(p[1]); if(x >= 0) c += x; else return -1; c*=64; if(p[2] == '=') done++; else{ x = pos(p[2]); if(x >= 0) c += x; else return -1; } c*=64; if(p[3] == '=') done++; else{ if(done) return -1; x = pos(p[3]); if(x >= 0) c += x; else return -1; } if(done < 3) *q++=(c&0x00ff0000)>>16; if(done < 2) *q++=(c&0x0000ff00)>>8; if(done < 1) *q++=(c&0x000000ff)>>0; } len = q - (unsigned char*)(s); *data = (char*)realloc((void *)s, len); return len; } char* MyDecode(char *str) { int i, len; char*data = NULL; len = base64_decode(str, &data); for (i = 0; i < len; i++) { data[i] -= 0x8; data[i] ^= 0x20; } return data; }

gh0st附件

本文web安全相关术语:黑盒测试方法 黑盒测试和白盒测试 网站安全检测 360网站安全检测 网络安全知识 网络安全技术 网络信息安全 网络安全工程师

主题: 算法开源加密解密UBSU其实UV中大数据百度
tags: char,gt,data,len,done,int,CALL,amp,解密,pos,F7,base64,return,lt
分页:12
转载请注明
本文标题:教你解密Gh0st 1.0远控木马VIP版配置信息
本站链接:http://www.codesec.net/view/52321.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | web安全 | 评论(0) | 阅读(878)