一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:16004488
微信公众号:计算机与网络安全
ID:Computer-network
在对文件进行修改时,经常会用到文本编辑工具,如UltraEdit编辑器、WinHex以及PE文件编辑工具PEditor。黑客通常借助于这些工具来修改木马病毒的特征码,以避开杀毒软件的查杀。
一、UltraEdit编辑器
UltraEdit是一套功能强大的文本编辑器,该工具可以编辑文本、十六进制编码、ASCII码等,甚至可取代记事本。该编辑器内建英文单词检查,C++及VB指令,可同时编辑多个文件。该软件又附有HTML标签颜色显示、搜寻替换及无限制还原功能,可修改EXE或DLL文件。
该工具的具体使用步骤如下。
步骤01:下载并安装UltraEdit,双击该工具的快捷图标,即可打开UltraEdit主窗口。在UltraEdit工具中可以查看各种应用软件的十六进制编码,如图1所示。
图1 UltraEdit主窗口
步骤02:选择“文件”→“打开”菜单项,即可打开“打开”对话框,如图2所示。
图2 “打开”对话框
步骤03:在其中选择相应的应用程序,单击“打开”按钮,即可在UltraEdit主窗口中看到该应用程序对应的十六进制编码,如图3所示。
图3 查看应用程序对应的十六进制编码
步骤04:UltraEdit-32支持多文件的查找替换,如果想把打开的几个文件中的“/index.htm”全部替换为“../index.htm”,在UltraEdit主窗口中选择“搜索”→“替换”选项,即可打开“替换”对话框。在其中分别输入要查找的词和要替换的词,如图4所示。单击“全部替换”按钮,即可进行替换操作。
图4 “替换”对话框
步骤05:在UltraEdit编辑工具中还可以插入或删除十六进制数据。在UltraEdit主窗口中选择“编辑”→“十六进制功能”→“十六进制插入/删除”菜单项,即可打开“十六进制插入/删除”对话框,如图5所示。
图5 “十六进制插入/删除”对话框
步骤06:在UltraEdit主窗口中选择“插入”→“在每一个增量处字符串”菜单项,即可打开“用指定增量插入字符串”对话框,在其中设置要插入的字符、文件偏移开始点等属性。单击“确定”按钮,即可添加指定的字符串。
步骤07:还可以让UltraEdit软件打开指定类型的文件,其具体的添加方法为,在UltraEdit主窗口中选择“高级”→“配置”菜单项,即可打开“配置”对话框。在“文件类型”选项卡下就可以添加新的文件类型,如图6所示。
图6 “配置”对话框
步骤08:如果在UltraEdit主窗口中选择“文件”→“转换”菜单项,则可展开UltraEdit的文本格式转换菜单,在其中进行UNIX/MAC与DOS、EBCDIC与ASCII、OEM与ANSI之间文本的相互转换,如图7所示。
图7 “转换”菜单
步骤09:UltraEdit软件支持在Windows系统里安装的所有字体,其中包括中文Windows和其他外挂字体。如果要选择显示字体,在UltraEdit主窗口中选择“视图”→“设置字体”菜单项,即可打开“字体”对话框,如图8所示。
图8 “字体”对话框
步骤10:在UltraEdit软件中还可以直接调用DOS和Windows命令。在UltraEdit主窗口中选择“高级”→“DOS命令”菜单项或按F9键,即可打开“Dos命令”对话框,如图9所示。
图9 “Dos命令”对话框
步骤11:在“命令”文本框中输入Dos命令,如dir、ping等,单击“确定”按钮,即可在UltraEdit主窗口的编辑区中看到该命令的具体执行结果。利用这项功能可以截取Dos窗口运行的文本信息,如图10所示。
图10 Dos命令的执行结果
步骤12:如果想运行Windows程序,则在UltraEdit主窗口中选择“高级”→“运行Windows程序”菜单项或按F10键,即可打开“运行Windows程序”对话框,如图11所示。
图11 “运行Windows程序”对话框
步骤13:在“命令”文本框中输入命令调用Windows应用程序(如cmd),单击“确定”按钮,即可打开“命令【提示】符”窗口,在其中看到UltraEdit软件的安装路径,如图12所示。
图12 Dos命令的执行结果
步骤14:UltraEdit工具还可以编辑和使用宏,在使用宏之前需要先定义宏。在UltraEdit主窗口中选择“宏”→“录制”菜单项,即可打开“宏定义”对话框,如图13所示。在其中输入宏的名称和热键后,单击“确定”按钮,即可录制宏。
图13 “宏定义”对话框
步骤15:如果想在UltraEdit工具中插入并使用已经存在的脚本文件,则在UltraEdit主窗口中选择“脚本”→“脚本”菜单项,即可打开“脚本”对话框。在其中可进行添加、编辑、删除脚本操作,如图14所示。
图14 “脚本”对话框
步骤16:在编辑和使用脚本之前,同样需要先添加脚本文件。在“脚本”对话框中单击“添加”按钮,即可打开“打开”对话框,如图15所示。
图15 “打开”对话框
步骤17:在其中选择相应的脚本文件(一般是.js文件),单击“打开”按钮,即可在“脚本”对话框中看到添加的脚本文件,如图16所示。
图16 添加的脚本文件
步骤18:单击“确定”按钮,返回UltraEdit主窗口中的“脚本列表”窗口中,即可看到刚添加的脚本文件,如图17所示。
图17 在“脚本列表”窗口中查看添加的脚本文件
步骤19:利用UltraEdit软件还可以对应用程序进行加密和解密操作。在UltraEdit主窗口中选择“文件”→“加密”→“加密文件”菜单项,即可打开“加密文件”对话框,在“密码”和“确认密码”文本框中分别输入要设置的密码,如图1-18所示。
图18 “加密文件”对话框
步骤20:单击“确定”按钮,即可打开“加密–删除文件”对话框,如图19所示。如果不想删除应用程序源文件,则单击“否”按钮,即可进行加密操作。
图19 “加密–删除文件”对话框
步骤21:同理,如果想解密文件,则在UltraEdit主窗口中选择“文件”→“加密”→“解密文件”菜单项,即可打开“解密文件”对话框,如图20所示。在其中选择要解密的文件并输入设置的密码,单击“确定”按钮,即可进行解密操作。
图20 “解密文件”对话框
二、WinHex编辑器
WinHex是一款以通用十六进制编辑器为核心,专门用于处理数据恢复、低级数据处理、IT安全性以及各种日常紧急情况的高级编辑工具。该工具的主要作用是分析和比较文件、磁盘克隆、数据擦除、搜索和替换等,利用该工具可以进行检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢失等操作。下面将介绍如何配置和使用WinHex编辑器。
1、配置WinHex
为了充分地利用WinHex工具的强大功能,在使用该工具之前还需要对其进行一些简单的配置。具体的操作步骤如下。
步骤01:下载并解压缩WinHex文件后,双击WinHex.exe可执行文件,即可打开WinHex主窗口,如图21所示。
图21 WinHex主窗口
步骤02:选择Options(选项)→General(常规)菜单项,即可打开General Options(常规选项)对话框,在其中可以设置临时文件的文件夹的存放位置,如:C:\Users,并勾选Hexadecimal offsets(十六进制偏移量)复选框,将虚拟地址和偏移地址都设置为十六进制的,如图22所示。
图22 “常规选项”对话框
步骤03:选择Options(选项)→Edit Mode(编辑模式)菜单项,即可打开Select Mode(选择模式)对话框,如图23所示。由于WinHex默认是写保护方式的,这里将编辑模式修改为Default Edit Mode(=deitale)(默认的编辑模式(=可编写))选项。
图23 “选择模式”对话框
步骤04:选择Options(选项)→Data Interpreter Options(数据解析器选项)菜单项,即可打开Data Interpreter Options对话框,可在其中设置数据解析器各个属性,如图24所示。
图24 数据解析器对话框
2、WinHex的使用
WinHex的主要功能是以十六进制方式编辑和修改机器码,另外还有编辑文本、文件比较及内存编辑等功能。该工具的具体使用步骤如下。
步骤01:在WinHex主窗口中选择File→Open菜单项,即可打开Open Files(打开文件)对话框,在其中选择需要打开的应用程序,如图25所示。
图25 Open Files对话框
步骤02:单击“打开”按钮,即可在WinHex主窗口中看到该文件的十六进制代码,如图26所示。
图26 在WinHex主窗口中查看应用程序对应的十六进制代码
步骤03:在WinHex可以定位到某个偏移地址处,在WinHex主窗口中选择Navigation(浏览)→Go To Offset(转到偏移量)菜单项,即可打开Go To Offset对话框,在New position(新位置)文本框中输入0000050,如图27所示。
图27 Go To Offset对话框
步骤04:单击OK按钮,即可将光标转到相应的地址处,即方框所示的代码处,如图28所示。
图28 定位到设置的偏移量处
步骤05:使用WinHex还可以搜索出一些程序内的字符串,并且可以对它们进行编辑。在WinHex主窗口中选择Search(搜索)→Find Text(查找文本)命令,即可打开Find Text对话框,在其中输入需要修改的字符串,如run in DOS mode,将搜索方式设置为ASCII/Code page选项,如图29所示。
图29 “查找文本”对话框
步骤06:单击OK按钮,即可看到已经跳转到要搜索字符串的地址处,如图30所示。在窗口右侧文本区域中进行字符串的修改,单击工具栏上的保存按钮,即可保存。
图30 查找到的字符串
步骤07:利用WinHex软件还可以对文件进行连接、分割、合并、不可逆转删除和比较等操作。在解密时经常用到的功能是比较,即通过比较解密前后的文件看出解密者对程序中的哪些代码做了修改,最后生成一个文本方式差别报告。在WinHex主窗口中选择Tools(工具)→Files Tools(文件工具)→Compare(比较)菜单项,即可打开Compare File/Disks(比较文件/硬盘)对话框,如图31所示。
图31 比较文件/硬盘对话框
步骤08:单击2nd file文本框后面的浏览按钮,即可打开Start Center(启动中心)对话框,如图32所示。
图32 Start Center对话框
步骤09:单击Open File(打开文件)按钮,在Open Files对话框中选择需要比较的文件,单击“打开”按钮,即可返回“启动中心”对话框。单击OK按钮返回比较文件/硬盘对话框,即可看到选择的需要比较的文件,如图33所示。
图33 选择的比较文件
步骤10:单击Save reportsas(保存报告)文本框后面的浏览按钮,即可打开Save Report As(保存报告为)对话框,在其中设置报告的保存位置和名称,如图34所示。
图34 Save Report As对话框
步骤11:单击“保存”按钮,即可返回到比较文件/硬盘对话框,在其中可看到报告的具体保存位置,如图35所示。单击OK按钮,即可打开可以用记事本程序查看报告【提示】框,如图36所示。
图35 报告的具体保存位置
图36 报告提示框
步骤12:当系统完成文件的比较之后,将会产生一个文本文件,从中可以看到不同代码处的偏移地址、代码内容和差别总数等信息,如图37所示。
图37 查看比较文件生成的报告
步骤13:在WinHex软件中还可以将应用程序分割为指定大小的文件。在WinHex主窗口中选择Tools(工具)→Files Tools(文件工具)→Split(分割)菜单项,即可打开Split File(分割文件)对话框,在其中选择需要分割的文件,如图38所示。
图38 Split File对话框
步骤14:单击Split(分割)按钮,即可打开Desired file size(定义文件大小)对话框,在其中设置文件的大小,如图39所示。
图39 Desired file size对话框
步骤15:单击OK按钮,即可打开Destination File(目标文件)对话框,在其中设置目标文件的保存位置,如图40所示。单击“保存”按钮,即可进行文件分割。
图40 Destination File对话框
三、PE文件编辑工具PEditor
PEditor是一款PE文件编辑工具,有转存进程、在SoftICE中插入中断、编辑PE文件的导入表、节表、重建校验和重建程序等功能。与其他PE编辑工具相比,PEditor可把所有的功能都集中在主窗口中,从而方便修改PE文件。使用PEditor编辑PE文件的操作步骤如下。
步骤01:下载并运行PEditor 1.7汉化版程序,即可打开PEditor 1.7主窗口,如图41所示。单击“浏览”按钮,即可打开“选择你要查看的文件”对话框,如图42所示。
图41 PEditor 1.7主窗口
图42 “选择你要查看的文件”对话框
步骤02:在选择要查看特征码的文件后,单击“打开”按钮,即可在PEditor 1.7主窗口中看到该文件的各种特征码信息,如图43所示。在“入口点”文本框中将其特征码修改为“000021A0”,如图44所示。该种方法可以使木马程序避开一般的杀毒软件。
图43 文件的各种特征码信息
图44 修改入口点特征码
步骤03:单击“应用更改”按钮,即可打开“此文件更新成功”【提示】框,如图45所示。单击“确定”按钮,即可完成修改入口点的防特征码免杀设置。
图45 “此文件更新成功”提示框
步骤04:在PEditor 1.7主窗口中单击“分割节”按钮,即可打开“3区段及PE头成功转存”【提示】框,如图46所示。单击“确定”按钮,即可转存3区段和PE头文件。
图46 “3区段及PE头成功转存”提示框
步骤05:在PEditor 1.7主窗口中单击“调试器中中断”按钮,即可打开“调试器中中断”对话框,在“虚拟地址”文本框中输入虚拟地址,如图47所示。
图47 “调试器中中断”对话框
步骤06单击“运行”按钮,即可打开“myccl_v2.1.exe已停止工作”【提示】框,如图48所示。单击“关闭程序”按钮,即可中断myccl_v2.1.exe程序。
图48 已停止工作提示框
步骤07:在PEditor 1.7主窗口中单击FLC按钮,即可打开“文件地址计算器”对话框,在其中选择“相对虚拟地址”单选项并输入相对虚拟地址,如图49所示。
图49 “文件地址计算器”提示框
步骤08:单击“执行”按钮,即可计算出输入的“相对虚拟地址”对应的虚拟地址、十六进制偏移、十进制偏移以及字节内容,如图50所示。
图50 计算相对虚拟地址对应的各项值
步骤09:在PEditor 1.7主窗口中单击“校验和”按钮,即可打开“校验和修正器”对话框,在其中输入当前校验和与修正校验和,如图51所示。单击“修正”按钮,即可打开“校验和更新成功”【提示】框,如图52所示。
图51 “校验和修正器”提示框
图52 “校验和更新成功”提示框
步骤10:在PEditor 1.7主窗口中单击“重建程序”按钮,即可打开“重建器”对话框,在其中勾选相应的复选框,如图53所示。单击“执行”按钮,即可重建打开的应用程序,如图54所示。
图53 “重建器”提示框
图54 重建打开的应用程序
微信公众号:计算机与网络安全
ID:Computer-network