Gh0st 1.0远控木马VIP版本配置教程

Gh0st是这款十分出色的开源系统远程控制软件，由红狼工作组的Cooldiyer开发设计。开源系统3.6公布后过段时间，创作者对其进行很多重写并公布1.0 Alpha，这一版本号是有VIP的，因为我荣幸搜集到一整套。 如果你得到1个他人的免杀木马你要干什么，学习培训免杀方式？也许由发觉你得到的样版你手头上的操纵端能够极致适配，你要把配备信息内容改动了写个专版生成器吗？想？你就跟我来吧！（我觉得你看了稿子也不容易写，因为我沒有写过）

enter image description here

0x01 剖析全过程

文中采用的Ollydbg快捷键：

F9 运作程序流程/再次运作F8 步过编码，碰到CALL非常容易跑飞提议不要用F7 跟踪，不易跑飞程序流程。F2 下断点，随后F9能够绕过某些代码段。F4 实行到选定行，常见。

想写生成器吗，必要条件要先把配备信息内容加密解密优化算法给解了，这儿我在服务器端exe下手，也不从生成器上着手了，终究人们大部分状况只能服务器端exe样版。

enter image description here

特别注意看生成器下边“GH0STC+客户配备信息内容+GH0STC”，这就是说人们要破译的字符串。倘若人们如今才捉到服务器端exe如何找配备？通常状况能形象化迅速寻找的，1、写在資源文档里边 2、写在exe、dll尾端额外统计数据上。（我写DRAT的那时候这二种都用过），人们用C32ASM专用工具16进制编写。移到最终发觉文档尾端有配备信息内容。大伙儿是不是感觉有点儿简易…… 难的篇数很大没有文中考虑到范围之内。

enter image description here

下边人们用动态性调节专用工具Ollydbg开启，设定CreateFileW涵数断点，这儿我用专用工具立即设定，你还可以应用bp CreateFileW指令设定。需不需要那么做？它要载入本身配备确实要“开启自个”因此断点设定在这一涵数最好，或许也是别的方式没有文中探讨范畴，随后按F9把执行程序起來。

enter image description here

enter image description here

如圖如图所示的那时候（要不是得话再次按F9），人们按ALT+F9回到程序流程，按两下F8往下走。见到ReadFile涵数也有CloseHandle、空格符GH0STC，这一那时候就表明程序流程早已把“配备”载入完后，正常情况下应当提前准备进到破译了。因此下边出現的CALL启用必须十分特别注意（通常要按F7进到，请别按F8了将会会绕过重要）

enter image description here

见到这一CALL，人们用F7跟踪，随后按好几个F8直至下个CALL。

004015F3  |.  E8 88FEFFFF   CALL server.00401480n………………

enter image description here

enter image description here

见到重要优化算法CALL（00401527，置于如何分辨的我只有说我事前做过完课了，实践活动中大伙儿要多试试），人们還是用F7跟踪（别的没用一部分你能用F2+F9或F4绕过只能）。

00401527  |.  E8 B4FEFFFF   CALL server.004013E0

在F7跟入就可以看

enter image description here

00401404  |> /8A1401        /MOV DL,BYTE PTR DS:[ECX+EAX]

00401407  |. |80EA 08       |SUB DL,8

0040140A  |. |80F2 20       |XOR DL,20

0040140D  |. |881401        |MOV BYTE PTR DS:[ECX+EAX],DL

00401410  |. |41            |INC ECX

00401411  |. |3BCE          |CMP ECX,ESI

00401413  |.^\7C EF         \JL SHORT server.00401404

它是破译优化算法重要一部分记录下来详细地址，人们这儿换一个专用工具用IDA看一下这一涵数（004013E0）。 提醒：IDA迅速自动跳转详细地址快捷键是”G”，

enter image description here

掉转去之后我很喜欢用F5软件（Hex-Rays Decompiler），这儿我立即按F5看C编码了（一部分实际操作也不截屏装B了，客观事实是也没有什么必须好截的）。

enter image description here

比照下OD里边的汇编编码渐渐地品，你会发现重要编码就两行。

00401407  |.  80EA 08       |SUB DL,80040140

Gh0st是这款十分出色的开源系统远程控制软件，由红狼工作组的Cooldiyer开发设计。开源系统3.6公布后过段时间，创作者对其进行很多重写并公布1.0 Alpha，这一版本号是有VIP的，因为我荣幸搜集到一整套。 如果你得到1个他人的免杀木马你要干什么，学习培训免杀方式？也许由发觉你得到的样版你手头上的操纵端能够极致适配，你要把配备信息内容改动了写个专版生成器吗？想？你就跟我来吧！（我觉得你看了稿子也不容易写，因为我沒有写过）

enter image description here

0x01 剖析全过程

文中采用的Ollydbg快捷键：

F9 运作程序流程/再次运作F8 步过编码，碰到CALL非常容易跑飞提议不要用F7 跟踪，不易跑飞程序流程。F2 下断点，随后F9能够绕过某些代码段。F4 实行到选定行，常见。

想写生成器吗，必要条件要先把配备信息内容加密解密优化算法给解了，这儿我在服务器端exe下手，也不从生成器上着手了，终究人们大部分状况只能服务器端exe样版。

enter image description here

特别注意看生成器下边“GH0STC+客户配备信息内容+GH0STC”，这就是说人们要破译的字符串。倘若人们如今才捉到服务器端exe如何找配备？通常状况能形象化迅速寻找的，1、写在資源文档里边 2、写在exe、dll尾端额外统计数据上。（我写DRAT的那时候这二种都用过），人们用C32ASM专用工具16进制编写。移到最终发觉文档尾端有配备信息内容。大伙儿是不是感觉有点儿简易…… 难的篇数很大没有文中考虑到范围之内。

enter image description here

下边人们用动态性调节专用工具Ollydbg开启，设定CreateFileW涵数断点，这儿我用专用工具立即设定，你还可以应用bp CreateFileW指令设定。需不需要那么做？它要载入本身配备确实要“开启自个”因此断点设定在这一涵数最好，或许也是别的方式没有文中探讨范畴，随后按F9把执行程序起來。

enter image description here

enter image description here

如圖如图所示的那时候（要不是得话再次按F9），人们按ALT+F9回到程序流程，按两下F8往下走。见到ReadFile涵数也有CloseHandle、空格符GH0STC，这一那时候就表明程序流程早已把“配备”载入完后，正常情况下应当提前准备进到破译了。因此下边出現的CALL启用必须十分特别注意（通常要按F7进到，请别按F8了将会会绕过重要）

enter image description here

见到这一CALL，人们用F7跟踪，随后按好几个F8直至下个CALL。

004015F3  |.  E8 88FEFFFF   CALL server.00401480n………………

enter image description here

enter image description here

见到重要优化算法CALL（00401527，置于如何分辨的我只有说我事前做过完课了，实践活动中大伙儿要多试试），人们還是用F7跟踪（别的没用一部分你能用F2+F9或F4绕过只能）。

00401527  |.  E8 B4FEFFFF   CALL server.004013E0

在F7跟入就可以看

enter image description here

00401404  |> /8A1401        /MOV DL,BYTE PTR DS:[ECX+EAX]

00401407  |. |80EA 08       |SUB DL,8

0040140A  |. |80F2 20       |XOR DL,20

0040140D  |. |881401        |MOV BYTE PTR DS:[ECX+EAX],DL

00401410  |. |41            |INC ECX

00401411  |. |3BCE          |CMP ECX,ESI

00401413  |.^\7C EF         \JL SHORT server.00401404

它是破译优化算法重要一部分记录下来详细地址，人们这儿换一个专用工具用IDA看一下这一涵数（004013E0）。 提醒：IDA迅速自动跳转详细地址快捷键是”G”，

enter image description here

掉转去之后我很喜欢用F5软件（Hex-Rays Decompiler），这儿我立即按F5看C编码了（一部分实际操作也不截屏装B了，客观事实是也没有什么必须好截的）。

enter image description here

比照下OD