今天拿到一份流萤firefly2.3版远程控制软件. 流萤脱壳教程 免杀...
我们先来看看流萤的说明:两个特点:
1.服务端仅16K的大小就已远远超过同类软件
2.server端不能随意脱壳改造，否则将导致文件运行出错！
今天我们的动画教程主要就解决这两方面的疑问.
我们开始.我们启动流萤.这里我已经给几台机器种上流萤了.我们直接看结果就行了程序默认在2000端口监听,连接密码是wsdgs
我没有改缺省设置,便于分析.

好.开始分析.(连接还是挺快的.)

流萤种上了以后,会在肉鸡的c:\program files目录下生成一个firefly目录.
我们实际看看.

里面有三个文件.info.ini serpent.exe windebug.exe

其中.info.ini是配置文件.里面存放了木马主人的地址(域名转向),端口.连接密码.

windebug.exe就是流萤作者强调的木马只有16K那个文件了.

serpent.exe这个200k的文件呢?哪里来的?我们打开流萤目录看看.

看到了吧..minexe.dat是用来生成16那个"服务端"的.
exeserver.dat就是那个serpent.exe文件咯......这才是真正的木马....服务器端就是这个200K的文件咯

info文件的内容我们顺便也看看.我这里已经下载下来了.

[Root]
Addr=dijsv/nfjcv/dpn
Port=2000
PassWord=xteht
ImageSign=0

第一行地址是"加密"的.密码也是"加密"的.

我的实际addr应该是 chiru.meibu.com
这里是dijsv/nfjcv/dpn   那么就是实际的字符+1的asc明白了吗? c=d h=i i=j.....依此类推就行了.

同样,密码是 xteht 也就是说,密码是 wsdgs.

那么,流萤的工作原理(中马后)应该是: windebug.exe(minexe.dat)---运行后生成info.ini---按照info.ini中的信息到肉鸡主人机器上下载---exeserver.dat--下载完成后改名位serpent.exe---serpent.exe按照info.ini中的信息开始工作.

好了.第一个问题解决了.服务器端并不是作者标榜的16K,而是254K.16K那个文件只能算一个downloader.一个下载器而已.

我们开始第二个问题:

2.server端不能随意脱壳改造，否则将导致文件运行出错！

晕.不能脱壳改造,那这个木马还有什么好用的.两天都没用就被杀了.:)现在已经被卡巴杀了.

好.我们就来脱壳看看.

我这里已经生成了一个木马了 test.exe 我们先脱它看看.
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]  这个很好脱.不用手动.用工具就行了.
已经脱掉了.是29.5K.delphi写的...我说嘛.delphi写的木马怎么可能就16K能解决问题.

好.我们再来脱一下木马的原始文件.

就是这里的minexe.dat 我把它改了个后缀名.exe 好.我们脱一下.

忘记了.已经脱过了...我重做一次.

好了.脱掉了....我们来看看脱掉后的 minexe.exe 和我脱掉壳后的木马test.exe有什么区别.

可以看到,没什么区别.那么为什么会出现脱壳后不能运行呢...我们就找台机器来试验试验.

这里我们要用到pcshare来看看.不然要是用流萤测试流萤,万一出错就掉鸡了.

还是用这台机器吧.

我们先把流萤卸载了.

卸载加/U参数就行了.

已经卸载了.

流萤上没了.

我们用pcshare给它中一个上去.....这次我们种我们脱壳后的.

好.我们看到.脱壳后也运行了的....不是说不能运行要出错吗?

我们把info.ini文件下载下来看看.

[Root]
Addr=i{yi{y234/4433/psh
Port=2000
PassWord=xteht
ImageSign=0

第一行地址很奇怪哦....明明不是我的.....

我们解码一下: hzxhzx123.3322.org

晕.这是谁的地址???????????????????????????????????????????????????????????

流萤的主页是????

http://www.hzxhzx123.com

是不是很有关系啊??????????????????????????????我不分析了....你们自己分析吧.

也就是说,如果你脱壳了.那么文件改变了.肉鸡可就不会来找你了.去找hzxhzx123.3322.org
这个人去了....呵呵........有点郁闷吗?

不要郁闷.我们来解决一下.

半天卸载不掉,这时流萤的问题,可不是pcshare的问题.

我们找到脱壳后的minexe.dat文件.

我们用od打开它.我们看看.因为既然脱壳后就去找其它人去了.那么肯定是作者加了文件字节大小效验的原因.

我们只要找到文件字节效验.改成新的脱壳后的文件大小就可以了.

来到这里.我们看到16384这个熟悉的大小.我们再看看

2005-10-02  01:41p     

          ..
2005-09-21  05:29p             260,096 ExeServer.dat
2005-09-19  09:44a              16,384 MinExe.DAT
2005-09-21  05:29p             260,096 ExeServer.exe
2005-10-02  04:40p                   7 cmd.bat
2005-09-19  09:44a              30,208 MinExe.exe
               5 个文件        566,791 字节
               2 个目录  1,691,615,232 可用字节

可以看到minexe.dat原始文件就是16384 换算成16进制就是4000咯.
那么我们脱壳后的文件是30208 我们换算一下.16进制是1600 呵呵.

我们把这里的4000改成7600

好了.这里就改完了.

我们再来看看.

这个时候我们用我们改好的来做原始的木马生成文件再生成一个木马.

我们再到肉鸡上试验试验
好.我们再把info.ini下载下来看看.

[Root]
Addr=dijsv/nfjcv/dpn
Port=2000
PassWord=xteht
ImageSign=0

呵呵.是不是对了.......

我们刷新一下
已经到我机器上取文件来了.我们等等.这台肉鸡就上线了.

快了.马上取完了.

来了吧.....这就是破解完毕了.

当然,如果不放心.我们可以用hedit等编辑器把脱壳后的minexe.dat打开,把中间的 hzxhzx123.3322.org
替换掉.

有两处地方.全部替换成FF或者00等等都可以........

免杀加密之类的东西我就不做了...各人有各人的免疫方法...不浪费大家时间了...这里只强调一点:
木马要生成后再加壳或者加密.
对exeserver.dat一定要做加密和免杀.那个才是主文件