编程牛仔解析怎么撤离

警告，本系列视频耗时两千四百小时，共计九小时三十五分钟，带你一口气学会黑客技术，从入门到入狱，完整教学视频看完直接出师，内容包括妮娜系统操作编程基础外安全渗透测试等网络安全课程， 来，我们来看一下啊，好，那么网页木马有很多，对吧？啊？一般来说对不对？对于这种木马 免杀或者让他绕过杀人的方式有两种，第一种叫做静态免杀，第二种叫做动态免杀。好，那么这个动态免杀啊，我们现在不考虑，因为你要做动动态免杀的话，你需要掌握的基础量是非常大的，对吧？你需要掌握这个一些加密算法， 你还得掌握一些流量上的东西，你还得掌握一些编程，对吧？甚至你还还会 hold 一 些东西，就这个东西直接给你们讲，你们就懵逼了，学不懂啊。那所以说我们先研究简单的这个静态免杀， 好，那么这个静态免杀其实非常简单，对吧？就是对木马文件中的内容进行一些加密跟混淆，好，比如说刚才的我们这个木马，对不对？好，我们打开 啊，打开这个木马，好，这个木马，现在就长这样一句话啊，太单调了，我们需要对里面的内容进行什么进行加密，进行混淆， 好让他看起来不像一个木马啊，最起码第一眼看让那些沙雕软件看起来识别到，他觉得他不是一个木马，对吧？总而言之就是围绕着这一句话对这个东西进行什么进行变形 啊，因为这句话是核心，核心的一句话，就跟我们盖楼房一样，对吧？我们把那个地基打好了，对吧？这水泥柱也立好了，剩下的就是 扩充了，对吧？把砖填上去，瓷砖填上去，装修好那个房子就非常完美了。好，那这就是这个木马的核心的代码，我们就要对这一句话，对吧？进行一些扩充，填充，对里面的每一个符号，每一个字进行一些改变啊，进行一些加密混淆，从而让他看起来不像一个木马， 但是他核心的本质跟他的作用还是没有变化的，对不对？好，那接下来呢，我们就来干嘛呢啊？我们先从一些简单的方式给大家看一下啊，用户七六二说，今晚就我一个吗？嗯，是的，今晚就你一个啊，所以说你要认真听讲啊。 好，兄弟们，我们来看看，先看，这样啊，来，我们先试试这个啊，一会大家可以猜一猜他免不免杀啊？ 好，呃，那么这个已建这个工具啊，它给我们对不对啊？提供了一个插件，这个插件是干嘛的？我们来看看啊，就是生成免杀，玩不上， 就用这个已建这个远远程工具，对不对？它可以去生成一个啊，免杀的啊，这个木马，好，我们先利用它去生成 好这个密码，写 mr 六，确定好，大家看看到啊，现在呢，我们生成了这样一段东西。 好，这样一个东西，跟刚才那一句话看起来区别是非常大了，可以说是改头换面了，对吧？里面加入了类，里面加了一些括函数，加入了一些面向对象的东西啊，是编程上的东西。好，那大家看这样一个东西，你们觉得免杀吗？ 来，觉得免杀的来扣个一，觉得不能免杀的扣个二，来，兄弟们来，大家还原一下这样一串东西，哎，跟刚才看起来都不一样了。那大家觉得这样一串东西免杀吗？你觉得免杀你就扣一，不免杀就扣二。好，大家都扣二，对吧？ 都扣二啊，都扣二啊，为什么都扣二呢啊？都扣二是不是？好，那证明大家很聪明啊，还有人扣一对吧？好，那这里呢，我们给大家提供一个工具啊，来我们看这里啊， 好，在我们的这个工具里面啊，有一个叫做低顿，这个低顿呢是专门用来啊，去查杀啊，这个这个文件是不是木马的，对不对？好，来，我们这样啊，我们一个一个试啊。 好，我们先试这个啊。 ok， 我 们先试这个啊，这个一点 p a p 就是 刚才的最原始的形状啊，我们把它拖进来 来看这里提示什么？提示木马级别是四级别，已经告诉你了，它是一个 evo home， 对 不对？好，那现在问题来了，我们来看第二个，第二个就是我们刚才那个变形后的样子。好，我们把变形后的样子也拖进来 啊，他的级别比那个级别还高，对吧？五级别啊，都给你爆红了，已知后门啊。所以说他也不免杀， 对不对？好，也不免杀。好，那不免杀是不是就不用了呢？哎，那肯定不是了，对吧？我们还要干嘛？虽然他不免杀，但是这免杀这个木马啊，那他是怎么样变形的 对不对？他是怎么样由一句话变成这样的？哎，我们得研究下这个原理吗？对不对？不研究这个原理，我们说我们学习不是看结果，对吧？结果当然很重要啊，那么在你学习的过程，你工作是看结果， 但是你学习的过程中你是看什么？你主要是看其中的原理，能让你自己未来啊，有个更好的发展，对吧？所以说我们要学深入，不能说这个东西不免杀我就不学了。不，你还得研究这个东西，为什么能这样练习， 你研究的多了，你最终就能做出一款啊免杀的木马，对不对？好，那接下来李哥啊，我们来把这段内容呢？啊，我们先拿过来扩展过来。好，我们接下来一行一行给大家做一个讲解，对不对？好，那我们打开我的一个，打开这个 sampling 啊， 好，打开这个 sampling。 好， 把它放大。好， 好，这里呢？我们来看看。第一行，首先我们看这里啊，这些我就不讲，这些是函数啊，是代码中的东西。我们看这里啊，这里，这个东西啥意思？ 这里，这个东西啥意思？来，我们再研究一下啊，来看啊，你看 f b q r， 哎，我，我来问大家一个问题啊，来，我，我出个问题啊，你看，这啥意思？这啥意思？来，我给你看一下，就是比如说呢， x 等于 y 等于二，对 不对？好，然后我问你， z 等于二对不对？好，然后我问你， z 等于 x 加 y， 好， 那兄弟问， z 等于几？ z 等于几啊？ 这傻子都知道，对吧？ z 等于三嘛，对不对？好，那这个东西你一看就能看懂，但是你看这个东，这跟它一个道理，你看这个就是 x 啊，只不过它写的比较长，不叫 x， 对 吧？它叫什么？它叫 f b q r f b q r f b q r 等于什么？等于这串。这串是啥？就是四 b e 或二 a 啊，它就类似于，类似于，它是这个 e 或这个符号。啥？它是一个运算符号，什么叫运算符？来，我再给大家举个例啊，二乘二等于几？ 二乘二等于几？等于四，那大家都啊，那这个乘它就是个运算符，对不对？好，那么这个符号它也是一个运算符，不过它叫什么运算？它叫易获运算符 啊，你不要觉得说啊，这个易货服很重要，很多的免杀的木马都是靠这个易货服的。好，我给大家看个例子啊，我们今天才做的一个免杀木马啊，能过那个 windows 第三呢，对吧？ 啊，我看一下啊，找一下这个哥们前两天我们说的聊天记录啊，好，我们看他啊，啊， 好，你们看他啊，好，他给我说的话，他说，白老师啊，我最近搞定的基础的动态免杀能过，对不对啊？这个 windows default 好， 就是用 e 货叉 o r e 货对不对？我们只看这里就说他能用最新版的 windows 自带那个啊，而且能过动态， 动态就是在执行密码过程中可以执行命令的动态免杀，对不对？他用的就是这个 e 货，所以说别看这个 e 货 啊，就这样一个符号，但是它在很多木马眼上的时候啊，都会用到啊，这个易错，百用不爽啊。那这个易货具体啊， 是什么样一个运算我们就不了解，不，不去研究了，对吧？那么大家有兴趣的话，你们可以自己去翻一翻数学书，或者说什么去研究下这个易货我们只看结果，那么这个 f b q r 等于四 b e 或二 a， 它结果等于什么呢？ 啊？结果是啥？这两个对吧？等于几？就跟二乘二到底等于几啊，对吧？这两个做疑惑，到底等于几啊？好，等于几？我们可以干什么啊？我们可以自己去干嘛呢？哎，我们算一下就知道了啊， 好，我们把这里写过来，好，这是它，对吧？四 b 乘二 a， 好， 我们 a 口一下 啊， echo 什么呢？ echo 来好，输出好，非常简单，对吧？这个结果是不是等于它俩运算好？运算完之后把它打印到页面上，好，那接下来我们李哥打开这个页面，我们看结果啊，啊？ 能看到吗？是不是等于 a？ 看 a， 也就说这一串内容 啊，做完预算就是这个 f、 b、 q、 r 等于 a 啊，它就是字母 a， 所以 说这个放到我们中文话讲就是什么？就是 f、 b、 q、 r 等于等于 a， 对 吧？就跟我们 x 等于一， 对吧？等于一，它是一样的，对吧？啊，只不过这里它是一个字母 a， 对 吧？好， ok， 那 行了，那有，既然有了这个，我们接着往下去看 看。什么？把这一串拿过来， 好，这一串拿过来，我们来看看 啊，把它的空格先给它删掉啊， 好，我们来看啊， f、 q、 b、 r 等于 a， 好， 那这个等多少呢？我不知道，对吧？但是我们知道它的形式都是一样的，对吧？都是一些这样的 符号，对吧？这个符号就是说由这几个东西啊，一行一行做计算，他们应该都会得到一个字母，得到一个字母之后呢？然后大家看这段 j、 k、 q、 e 等于什么？等于 f、 q、 f、 b、 q、 r， 点就是加号的意思啊，加，加，加加，也就说把它们运算完之后，分别把它们拼接相加起来。好，那么这个相加起来之后，它的结果是多少呢？ 来，我们往这里看，来，我们运算下就知道了，好吧，然后在这里刷新一下， 来，看到没有？是不是看到了它等于什么？等于 a s s e r t。 好， 那为什么啊？要费这么大劲把这个 a s s e r t。 就 这么一个字母，这样一个数字，对吧？变成这么长一段内容呢？ 啊，就是因为这个 a s s。 押 t 啊，他就是这个什么木马的函数啊，核心函数啊，他比较的危险啊，因为沙软识别就识别里面有没有这样这样一串纸，有，他就认为他，他就认为什么认为是木马 啊，所以说我们需要对这里面的啊，代码执行函数进行一些改变，变运算，对吧？哎，从而干嘛呢？从而实现免杀，好，其实我们能看到，对不对？ 来，我们把这个木马拿过来，把那刚开始的这个原始的木马拿过来啊，原始的木马。 哎，原始的木马呢？啊，在这一块好好，这个原始的木马。人说李哥，那这 e v e l。 没见 a s s 夹夹，这个 e v l 跟这个 a s s 夹夹夹一个道理啊，改一下哈，改成这样，好，所以说我们能看到这是这个木马，对不对？好，那你看他刚才 在这一块用了这个函数，最后这么一大串 返回的是什么？返回的就是 a s e r t， 对 不对啊？ a s a 就是 a s e r t， 为什么要返回 s e r t， 你 刚才讲过了，对吧？就是因为做混响，因为你这是他木马最原始的样子，对吧？就是把这个东西啊，把这个好像删掉啊，就把这个东西变成了上面这个东西。 哎，好，那我们看后面还有这一段呢啊，后面这个东西啊，是后面这个东西啊，他一般来说不用做混淆 一般来说啊，一般来说啊，啊，不用做混淆啊，为什么？因为这个东西很常见，你不能说凭这样一段话就判断它是木马，好，不信我们给大家举个例子啊， 来来，我们把刚才那个拿过来啊， 好，我们找到这个木马啊，好，找到这个一点 php， ok， 那 这样，兄弟们，我把这一行删掉，只留它，当然它现在不完整的，对吧？我们让啊这个工具去识别，你觉得这段话是木马吗？ 对不对？肯定不会是木马，对吧？来，我们来看一下啊，哎，你看啊， 好，我把这个拖进来，看到没？白色的啊？没有没有，所以说你看啊，他判断你是否是木马，其中一个很关键的点是判断啥？就是判断你的，你看你把这个加上， 你把这个 a s s 压力加上啊，我们再去啊，拖进来，看到没，立马就可以判断出来它是一个后门，是不是 a s s 压力后门。所以说一般来说像这种静态点杀啊，你要对什么？对这些 危险的函数 进行什么进行啊？变形， 就这么简单啊，是对危险的函数进行变形，那这个危险的函数就是我们刚讲的 a x e r t， 当然跟它啊，类似的还有什么？还有很多啊，大约十几种， 对不对啊？十几种，好，那接下来我们研究成这，要搞明白这个问题之后啊，我们接着往下去看，对吧？接着往下去看。好， 那接下来啊，我们就要来给大家讲讲这些危险的函数对不对？应该怎么样去免杀呢？啊？来，我们讲几种方式给大家试一下啊。第一个啊，叫什么？把一个函数名当成一个字母串， 传给一个变量，再使用变量当做函数去执行啊，我们给大家简单的做一个演示啊， 好，它的原本是不是要这样叫 a， s， s， e， r， t， 对 不对？然后捞捞，刚 post 好 一好，这是它最原始的样子。好，那我们可以这样把，这个我们可以定义一个 a a 啊，就类似 x， x 等于啥？ x 等于它，对吧？好， x 等于它，等于这样一个字母串好，然后写把它拼起来，对吧？本来是它，对吧？好，那么这个 a s 现在等于什么？是不是等于到了 a， 我 们可以这样 啊，那就变成这样啊，是不是可以先把 a， s， s， e， r， t 给到这个 a 好， 然后 a 括号这样一串内容 啊？它跟原始刚才这串内容它是等价关系，对不对？好，那么这种方式呢？啊，就叫什么？就叫动态执行 啊，动态执行啊，动态执行函数吗？啊，对，就是把函数啊，把这个函数赋成一个，赋给一个变量，然后由变量代替函数去执行 啊，这是一种形式啊，当然，你说啊，李哥，我变成这种啊，我去保存，能不能杀，肯定也就杀掉了，对不对啊？这个不行啊，那他第二种就是哈， 你有了这个动态执行了这个基础之后，就是函数，它可以用一些参数做替换，对不对啊？那我们对吧，就可以啊，对这个函数进行一些参杂拼接、运算等方式啊，进行替换啊，举个例子，你看现在 a 等于 a s， s 加 t 了，对不对？那我就可以 啊，想办法呀，把这个 a， s， i， t 不要写成那么直接啊，对不对？我们可以写成什么？写成，比如说这种啊，我们课间里面写的这种啊，写成这种 这个格式，好，这什么意思呢？我们截图拿过来给它解释一下啊， 好，我们这样，好，这里写成到了 a。 啊， 好，我们一行一行一行来看啊，首先你看这里就没有 a s， c， i p 了，你看 a 等于什么？ a 等于这个东西啊，这啥意思啊？这句话啥意思？哎，你不知道对吧？不知道没关系啊，我们来打印一下 a， 好，我们来试一下啊。呃呃，来啊，把这些，嗯，这个标点符号都给它弄好啊，好，好，我们 echo 这个什么 a， 好， 把这个 a 输出一下啊，好，我们来看这一行什么意思呢？来，直接啊，你不知道它什么意思？没关系，给你算一下， a， s， s， 也就是说这串内容后面这串内容它最后 a 就 等于什么 a， s、 s。 它其实这个意思就是说把 q、 w、 e 换成 a、 s、 s 啊，然后从 d 零位开始换，也就是逐个去换嘛，啊，就是把 q、 w、 e 换成 a、 s、 s， 所以 说你这块你随便写，只要写三位，对吧？将叉叉叉换成 a、 s、 s， 你 看， 哇，还是 a s、 s， 这里将叉叉叉换成 y、 y、 y， 对 对，我保存一下好，它就变成了 y y y。 啊，其实这个意思对吧？我们将什么一个啊，随便啊。啊，换成什么？换成 a， s、 s， 那 换成 a s、 s 之后它还有一个对不对？还有一个什么？还有一个要把 a、 s 的 后面三个字拼起来， e， r， t 在 哪里呢？ e， r， t 在 这里 啊，那么 a 现在等于对吧？你看这我们应该换一个，像这样啊 b 吧。啊，这样的话好理解啊， b 等于什么？ b 等于 a s， s 点点，大家知道就加号，意思差幺零幺。好，差幺零幺什么意思？有没有懂？ 那这个可大家可能不懂。叉幺零幺啥意思啊？你们不知道啊，其实就是啥叉幺零幺，你不懂啊，不懂的话我给你搜个东西，叫做阿斯科马表啊，啊， 哎，这什么 a c i s 是 吧？ 来，给你们找一个吧。啊，百度找个图片啊，来，就是这个，他差，就是这样，我们看多少？是不是阿拉伯数字一百零一啊？一百零一，找找这个表里面一百零一啊，能找到一百零一吗？找找一百零一啊，找石英制的一百零一 啊啊啊，不是，实际就在这里啊。 d c 对 吧？找一百零一八十七，一百零一，一百二十八，哎，一百零一， 一百零一，找到了，对吧？看到没？一百零一对应几呢？对应的是 e， 明白吗？一百零一能看到吗？这块我再给大家拿过来啊，在这一百零一旁边是不是 e 啊？就一百零一对照的是 e， 所以 这个叉幺零幺啥意思？就是把一百零一转成它对应的字母，一百零一对应的是几呢？对应的是 e， 那 一百一十四呢？啊，你在这里面再找啊，一百一十四，我们能看到这里对应的是多少啊， 是吧？啊，好，那这样看，一百一十六呢？一百一十六啊，一百一十六，这个都都不用想了，你们猜是多少啊？肯定是 t 嘛，对不对啊？是不是你看一百一十六，这个是 t， 好， 所以说 这就等于说 e a s s e r t。 对， 然后把它拼起来。好，那然后呢？我们再 a 口一下啊，这个什么？这个 到了 b， 好， a 口一下。好，那然后我们看最终结果，最终结果我给你算一下，看到没？ a s s e r t 啊，所以说你看像刚才我们最开始写的那个比较简单，对吧？是哪种写法呢？是不是这种是这种写法 啊？是这种写法啊， e 等于 a s i t， 然后直接 e 啊，那这样的话就暴露了对不对？所以说我们把哎换成上面这两行，然后怎么办？然后到了 b 就 这样，就这样。好，那你这样看啊，它看起来对吧？里面确实好像用肉眼看啊，确实没有那个特别明显的特征啊， a s s i t 这样的字母特征了。好，那你说它能过免杀吗？ 好，我们来再来试一下对吧？能不能过免杀呢啊？过，不过我不知道啊，只有用了工具测，只有测试过我们才知道过不过免杀。 好，把内容啊写到这里，那人说过不了对不对？好，过不了没关系啊。哎，这个大家不能猜测对不对啊？不能猜测啊，我们要干嘛呢？我们要自己去尝试啊。回车 好，尝试了一下，看到没有啊，他这个等级是不是变成三了啊？也没有过 啊，他没有说明显是个漏洞，是个木马，但是还是有一个痕迹在里面，对不对？好，那你紧接着怎么办？紧接着你再对这里面的内容进行填充扩充跟运算，明白吗？啊，好，来，我们再看下一个。 好，下个这样来看。这个好，这个内容。哎，它就比较屌了，对吧？来，我把它拿过来。 好，我再写到这里。来啊，来这一串内容。 好，我们来看啊，这里呢？先给它。这个是 a b， 对 吧？好，我们看一下啊。 a 啊，这里不能写 a 了啊，这里是什么？到了 e 是 不是啊？那我这里就写到了 e 啊，好，到了 e 把它删掉，好，这里写 x 啊，来，我们看这样的内容，变成这样， 变成这样，我们来看啊，好，这个我们知道是 a s s e r t， 好， 然后接着往下看，然后定一个 w 等于百里，对不对？那么多了 w 等于百里了，对不对？大家看这两行，这两行什么意思？ 这两行大家看一下，看到没？多了 w 等于百里，对不对？好，那我这就等于百里，好，所以这个多了 w 等于百里， 好，所以到了百里就等于这个。这串内容看到没？神奇不？就等下咱们再看一下啊，可能弄得有点快啊，你这个要悟一下呢啊， 来，我们看一下啊，这两个东西是不是等于百里啊？那前面这个是不是等于就啊，那这个东西是不是等于百里？ b a i l i 百里吗？就跟数学题一样吗？对吧？好，那我们现在做个替换，对吧？ 这个东西是不是等于百里？我们往这一粘，往粘完之后，他前面还是还有个符号，对不对？好，有个符号之后，哎，又变成了刀了，百里等于这样了，对吧？那然后我们就可以配合。什么配合？这样配合，这里是不是有一个啊？这刀了 e， 是 吧，还可以这样 down 了 e 括号括号到了百里啊，当然，这不写到了百里，对吧？我们写这个啊， 对吧？这它原始写法写这样， 写成这样。来，我们来试试啊，我先把这行删掉啊， 哎，这个单能动吗？写成这样， 这样，对吧？我又把这个东西复制给了啊，做了一个这样的复制啊，这样的话，是吧？啊，那看起来又比刚才好像又高级了一点，对不对？好，那高级了一点我们再干嘛呢？我们再去把它同样用刚才的方法啊，再去测一遍 啊，这就是免杀啊啊，答案，你们说啊，我要谁免杀？免杀，就这样啊，你啥免杀都是一个一个试呢啊，你不试出来的东西你怎么知道结果呢？啊？来，我们来看一下啊， 拖过来，来，看到没啊？他还是能识别出来啊，所以这种方式无用，无用，那接下来就要使出李哥啊屡试不爽的一个大招了啊，那这个大招呢啊，至今为止啊，无人可破啊。 好，我们把最后这一套内容换成这个，换成这个， 换成这样，就说刚才是不是叫这样，刚才叫啥叫啊？到了 e， 括号到了，到了 w， 对 吧？ 好，我们来看啊，刚才是不是叫这个好叫这个它被识别出来了，对吧？有点问题，所以说我们把这这行啊，执行的这，这是执行嘛，对吧？执行这行换成这行 啊，让他用一个什么用一个数组嵌套的形式去执行，你看到没？刀了 e 还是刀了 e， 这还是刀了 e， 对 吧？这个刀了 e 是 等于啥？不说刚才讲过的 a s 的 e r t， 对 吧？这边啥刀刀打嘴，这啥就是我们的这个 对吧？啊？这个 evl 好， 然后这其其实就等于啥？这个内容对不对？其实就是等于刚才我们说的这串内容， 上面这个跟下面这个是相同的，作用是一样的啊，只不过用了一些数组的变换跟替换好，那么一旦做这个替换之后啊，大家觉得这个东西现在免杀吗？ 猜一下，你觉得免杀的来，咱扣个一，觉得不免杀的来扣个二，兄兄弟们啊，觉得免杀免杀的扣个一，不免杀的扣个二， 很简单，这里面很简单，就就一二三四五行代码嘛，就是简简单做了一个替换，对不对啊？大家都扣二对吧？好，扣二没关系，我把它复制一下， 复制到这里面来啊，我们再去把它进行一个测试好，然后再接着呢，打开我们的 d 顿， ok， 打开 d 段对不对？好，拖进来。哎，恭喜你免杀成功，成了成了免了啊， 免了，那免成了就是替换，那这有啥？ 没有什么啊，那就说李哥这个东西感觉有点难。其实不难，就是啥，就是替换了，一直给他化妆，化妆啊，脱了化，脱了化，他就是他，万变不离其宗啊，他基本上所有基本上啊，他都是这种一个思维 啊，不管是我们对 shell 对 吧？啊？ shell 的 啊，还是我们的什么 webshop 啊，还是我们的 power shop 啊，对这些东西进行免杀，它基本上它都是这么一个原理的啊，都是对里面的内容干嘛呢？进行不 断的替换测试，仅此而已。然后用啊，用什么啊？用一些这个一些形式对吧？去干嘛啊？那我一会呢啊，大家觉得不免杀我一会可以干嘛？放到盒马上对吧？ 盒马盒马，大家知道吧？盒马 ysl 检测对吧？来百度一下啊，这个是那个微部的在线啊，在线 ysl 检测对不对啊？ 啊？这个吗？哎，这个大家知道吧？没，没用过吗？现在很多人喜欢用这个对吧？这这个啊，专注查杀，立即使用 啊， windows 在 线查上啊。对啊，在这把你的 webshop 拖进来，它就可以测试了啊，它每天要它每天有多多少亿个样本，对吧？啊？多少亿个样本啊？为什么我会拿这个低顿？因为为什么我会用这个工具，大家知道吗？ 那你们说李哥，他说你为什么会用到这个低端这个工具啊？因为这个工具啊，因为这个工具啊，啊， 很多应急人员在用，明白不？就是很多那些啊，就是电脑中毒了啊。啊？不是因为工具好用啊，一是因为好用他比较小，二是因为他很常用啊，就是别人会拿这个工具去检测你电脑有没有木马， 对，不管这个工具有没有更新，有没有，酷社会的企业中很多人会用这个去检测，他检测的，没有就是没有，有就有，对吧？所以说你就用他同样的工具去检测，能过他就可以了，明白吗？ 啊？但能过低顿不代表能过，其他的没有一款工具什么东西说啊？所有凹印啊，我发明了一个东西凹印了，啥都能过，对吧？啊？那啥都能过，那需要你不断的去测，对吧？你要用啥？啥东西都要测啊？那，那就成成为表达 啊，这么表达一般来说就是，嗯，对症下药吗？就跟你生病一样啊，你生了什么病，你用什么药，对方用什么检测，你用什么检测？用什么过什么就可以了。好吧，好，那接下来我们再看一个木马啊，除了这个木马之外啊，我们还给大家准备了一个木马，这个木马啊，来，我们看这个木马， 这个木马啊，是网上的一个能过河马，一个木马啊，我们来试一下这个东西能不能过河马啊，来把它用这个添加的压缩文件啊。啊， 没有问题吧？好，然后呢？我打开这个网站啊，把它拖进来。 好，我来扫描一下啊，这是一个在线，你看上来，大家看安全 有问题吗？没问题啊，过了啊，这是哪个网站？这是微部在线的专业查杀网站。过了啊，那这个过了，里面内容呢啊，好，里面内容呢？内容就这些。 好，那里面李哥内容过了这些了，对不对？好，那他是怎么写的？我看不懂啊。啊，那我，然后我一步一步带你读，你就懂，对吧？来，你往这里看 啊，上面这个不说了，这是判断是否存在 cookie， 对 吧？啊？它要这个 if cookie 对 吧？这个 id 等于它，它也是做一些混淆，对吧？来，我们看这个啊， b s w x r d t 等于 st r， 能看懂吗？跟刚才一样吧啊 q o。 这啥等于它 加上 replace。 replace 是 啥？ replace？ 哎，你们来看啊，你们看啊，上面这个跟下面这个是何其相似啊？你自己看啊啊啊， 刚才不是说啊，这个东西能过低顿吗？但是它过不了河吗？啊，它在这个基础上又做了一个代替，就把这个东西用上面代替了，你看 str 杠 s t r 杠，对不对？加上 replace 加上 replace， 那 前面还有个 s u b 呢，对吧？看 s u b 替换六， 看到没能懂这句话吧，其实它就是用先上面的，先用这段函数啊，替换出一个这样的函数出来，仅此而已 啊，上面都是做替换嘛，你看这是这个字母串，这是一个啊，参数，这个参数加上 replace， 对 吧？它就等于它啊，然后把它呢再放到这里啊，再做一个替换啊，这里面你看再做一个。这又找一串这样的值啊，再做替换啊，这边又做一个什么 md 五的判断 啊，总而言之，这个能过，这个你看找到这个 please 啊，然后又做替换啊，又代掉啊，跟刚才我们讲的是一模一样的啊。一模，你看里面对吧？你自己能看里面这些东西啊？ 他等于他，他等于他，他等于他，就不断去套娃，对吧？套套套套套套套套，等娃套的乱七八糟都是个代码，是干啥的都不懂了啊。就是把这些里面有的函数全给它套了， 把这个给他套了，把这个给他套了，把这个也给他套了，这个也给他用啊。那种动态执行就是我们刚才讲的什么动态执行，他们这种方式啊，都是基于一个东西叫做。什么叫做动态执行 啊？就是我们刚刚刚开始讲的那个动态执行，把函数可以替换给一个变量啊，然后变量去替之 执行。函数叫动态执行吗？函数的动态执行方式它都是用这种方式的，你看把它是不可以给它替换。刚才我们在这块整的是不是 a s s r t。 那 你告诉我这个也能整，能整对吧？能整了之后，你看这个，这个木马里面就在整它呢 啊，但就是最终结果一样的啊，最终还是实现了。干嘛了啊？过杀人啊。所以所以说你看啊，我们给他讲的这个东西，对吧？这个东西呢啊，他就是就什么，你看就是我们讲的免杀 啊，明不明白哎，这个听懂了没有？兄弟们来，听懂了。来，咱把小六小一扣到公屏上嘛，对不对啊？明不明白啊？ 还有这个人说 windows 系统的检测能力很强啊，那这个不一样啊， windows 啊，他主要是对木马啊这种病毒，这种病毒进行检测比较多啊，病毒检测居多啊，当然他的这个，他检测这种 p a p 啊，文件类的啊，他还是 这个文件类啊，像这是一个文件木马文件，这个文件必须要放在服务器上才能执行啊，对吧？必须放在 服务，放在服务器才能执行啊，他不是说在这个东西可不能双击在 windows 上运行，明白吗？他必须要放在服务器上才能执行 啊，那所以说你把这个东西放到你的 windows 里，他永远不会执行，所以说你永远不用担心他有问题， 别人用这个东西控制你啊，因为它不会执行它， windows 执行它是 exe 嘛，对不对啊？或是其他的一些可执行程序， pe 程序，我们这个它只只是个文本，这个文本必须要放到网站里面，借助网站的解析啊，才能去执行这个东西 啊，明白吗？兄弟们啊，所以说你通过啊，虽然课程内容比较精简啊，但是我们呢，也是多多少少去实现了一些作用的， 对吧？比如说过了河吗？过了地段，我们刚才能看到，对吧？李哥一步一步，对吧？啊？用这些东西啊，给大家简单的做一些检测，简单的做了一个演示啊，那万变不离其宗，那么接下来 对不对？那你如果想啊过更多，对不对 啊？想过更多的一些上传软件，那就需要兄弟们一个一个测试，对不对？一个函数 一个一个替换啊，那么你在这里面，因为在这里面，我们现在用的只是一个动态执行，你还可以加一些什么？加一些编码，加一些 e 或算法啊，加一些什么 d、 e、 s， 加一个 r、 s、 a 啊，你们知道为什么那些什么冰蝎啊，冰蝎的木马你们分析不出来吗？啊？因为他们在动态执行的时候就有这种一些加密算法，他们密钥在里面 啊，有这个密钥没有这个密钥是解不开里面内容的啊，这些东西我们是用肉眼就能解开，对吧？你只要退代码读就能读开，但是如果我用了什么 d、 s、 r、 s、 a 啊，这种有一些算法在里面，对吧？你没有那把钥匙啊，就跟没有跟 门一样的，你没有钥匙永远进不了那个门，对吧？我用这个 rsa 把这里面内容或者一些关键字进行加密了，那你没有那把钥匙你永远解不开啊，所以说我没有办法破解啊，所以说你可以看到像一些新的木马，对吧？比如说我们的内存码 啊，或者说比如说我们的这个兵系代码啊，你不能通过代码去判断，不能通过代码去判断，和他长的样子去判断他是不是木马，很多时候他判断他是不是木马，是通过什么通过行为去判断的 啊？他一加这个加密算法就搞不定。所以说你像这个东西他能做的操作是很多的，做很多替换异货啊，这我们今天讲的这个东西，他只是做一个什么替货替换，对不对啊？并没有，对吧？进行一些算，如果进行算法的话，那更看不懂了 啊，明白，流量特征还是能识别的。我说刚刚不是跟你讲了吗？行为就是流量特征啊，这个行为就是我们的啊，流量通过流量去判断啊，那流量啊，有人刚才说这样啊，说李哥，你看我就算把这个东西 破了啊，或者我这个东西再过了这些常规的这种东西了，但是我最终利用这个木马是干嘛？是不是远程控制 好？那么我要远程控制，那我必然会执行，对吧？操作 对不对？我执行删除、粘贴这些操作吗？我远程控制你吗？那你在执行这些操的时候，他就有一些流量特征，流量会产生流量，对不对？那你有这个流量之后怎么办呢？啊？这就是我们刚才课课程里面给大家讲的 动态免杀，对不对？动态免杀啊，那怎么对动态进行免杀呢？兄弟们，那你就可以自定义这些流量，可以内嵌 socks， 可以 内嵌 ssh， 可以 把你的流量用一层协议封装起来 啊，当然这些理论上是百分之百可以实现的啊，甚至呢，你的流量可以用一些专用的一些工具加密起来也可以，就像我们的 http 对 不对？大家知道 http 跟 https 的 区别一样对不对？ http 跟你 atbs， atbs 对 里面就加密了，对吧？你也可以对里面这些流量用一些啊，这样的一些啊。呃，什么协议进行加密 啊？也可以，那，那前提是你得会啊。那么所以说我说的这个动态免杀啊，比较难以做嘛？我说现在讲这动态免杀，他肯定说我把这个常见的 atv 我 欠到这个 啊， self 协议，可不可以把刚才的那段协议我欠到什么？ s m p 协议可不可以？我欠到 t c p 底可不可以？我欠到什么？ d n s 可不可以可以欠到 d n s 啊？里面也可以，从而实现远程工程，它一定是那些杀毒软件，那你市面上那些东西百分之一万检测不出来 啊，只不过你内嵌了这些东西，百分之一万检测不出来啊。只不过你内嵌了这些协议之后，会影响它的传输速度啊，影响它的效率 啊。所以现在没有人选做，像很多 apt 就 在做啊， apt 对 吧？像海莲花对吧？他们就把自己的工具的流量啊，用一些啊，一些 sox 封装啊， dns 封装，他们有自己专门的这种 dns 的 这种啊，一些工具啊，流量专门走 dns 协议 啊，对流量进行加密嘛。啊，那这就叫什么动态免杀，我们刚才讲的就叫静态免杀，只是对文件里面内容进行混淆。所以说啊， 啊，路漫漫长修远兮，对不对？兄弟们，大家都知道啊，你应该学这东西啊，他是一个永无止境的东西啊。我们今天这节课只能给大家作为一些引导正起用的三六零专业版的检测，检测不出来啊，检测不出来啊。