转自：http://blog.hacksafe.org/article.asp?id=62

一:首先认识网络上的各版本网马

首先认识  MS-06014 MS-06040 MS-06042

那么，网络上的大部分最新的网马生成器，也就是利用这些漏洞来制作网马的

其实，网马他很简单，我们从原理来学习他。

别看网络上的网马生成器，非常的多，其实，都是一个模式出来的。

就像QQ木马一样，都是一个源代码弄出来的

二:认识网马代码

那么，8月份的MS-06014漏洞

现在网络上的大部分稳定的网马生成器，也就是延用这个漏洞。

他的网马生成器所生成的原装网马代码的是最早的占有者等。

这里，我们查看 MS06014 中华网络 所生成的网马

这个就是原装的代码，
  
   那么，我们通过比对，就能知道，网络上的这些个天花乱坠的网马生成器原形

三:通过对比，我们来学习，如何来制作免杀的网马

首先，我们查看和对比，最新的免杀网马所生成的网马与原装代码不同之处

通过学习，了解，这些其貌不一的网马到底是如何各自不同的制作各自的免杀

（我们主要学习，最新的MS-06014网马，因为现在网络上大部分稳定的网马生成器都是由他变异而来）

四:举列子

首先，我们查看 MS-06014 代码中可以用来制作免杀的变量

"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"  
"object"
"classid"
"Microsoft.XMLHTTP"
"GET"
"s cripting.FileSystemObject"
"Shell.Application"
  
首先，我们拿 "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" 举列

然后到，免杀网马中，找到经过免杀处理后的这一句，我们就能知道，大家是如何通过变形这句代码

达到免杀的

列一：蓝防收费版变异代码
    j1="clsid:"
    j2="BD96C556-"
    j3="65A3-"
    j4="11D0-"
    j5="983A-"
    j6="00C04FC29E36"
    j7=j1&j2&j3&j4&j5&j6

然后在网马代码中的 "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36" 里面的

clsid:BD96C556-65A3-11D0-983A-00C04FC29E36 替换成 j7

也就是"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"="j7"

具体我们可以查看最新的蓝防免杀网马

列二：老丁内部网马变异代码

U1="c"
    Bs="l"
    Bg="s"
    UN="i"
    Io="d"
    Ul=":"
    Y3="BD"
    Os="96"
    I2="C5"
    I8="56-"
    J3="65"
    ob="A3-"
    P4="11"
    sy="D0-"
    Q5="98"
    U0="3A-"
    E6="00C"
    Ug="04F"
    Xn="C29"
    Ij="E36"
    M7=u1&Bs&Bg&un&io&ul&Y3&Os&i2&i8&j3&ob&p4&sy&q5&u0&e6&Ug&xn&Ij

变异的无所谓不短哈~

还是一样，

经过这样变异后
"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"="j7"

列三：NCPH变异代码

c1 ="clsid:BD"
c2="96C556-65A3-11"
c3="D0-983A-00C04F"
c4="C29E36"

大家看到这句，HOHO~他并没有 在尾部升明 a1=b1&b2....这样的形式，他的变异是缺少了吗？

其实他不升明，只需要在原装代码中的

"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"替换成 "c1+c2+c3+c4"

--------------------------------------------------------------------------------------------------------------------------------------

二  实践操作

变异"clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"

拥有属于自己的个性免杀

如果你仔细的看了上面的列子，结合你的思考，通过你的学习

你应该懂得呢，如何去变异这些代码，

如果我们学会，以后不管什么漏洞，不管什么代码，原理掌握了，我们顺手就能免杀

那么我呢，就举列变异一次

弄个简单的，@-@

首先

在代码中升明，恩，告诉系统，我们已经把某某代码，替换成某某代码了，别读写错误拉`

也就是 "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
                  
zhonghua1="clsid"
zhonghua2="BD96C556"
zhonghua3="-65A3"
zhonghua4="-11D0"
zhonghua5="-983A"
zhonghua6="-"
zhonghua7="00C04FC29E36"
zhonghuahk1=zhonghua1&zhonghua2&zhonghua3&zhonghua4&zhonghua5&zhonghua6&zhonghua7

貌似分离大法，~-~HOHO，把机器人的手脚分开，等你检查我不是机器人后，偶再组合起来

好拉，不多举列拉，再举教程就太大拉~-`

三:生成属于自己的免杀网马

这里，我们来招卑鄙的

在别人网马变异过后的基础上，我替换掉一句，然后，生成~HOHO~~

这样，完美的属于自己的网马就不小心弄好拉~

这里我们使用 蓝防收费版免杀网马 使用MS-06014漏洞变异网马
   （这网马人家可是说提高中率百分之五十哦，不用白不用）

然后用
zhonghua1="clsid"
zhonghua2="BD96C556"
zhonghua3="-65A3"
zhonghua4="-11D0"
zhonghua5="-983A"
zhonghua6="-"
zhonghua7="00C04FC29E36"
zhonghuahk1=zhonghua1&zhonghua2&zhonghua3&zhonghua4&zhonghua5&zhonghua6&zhonghua7

替换掉

m3="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"

接着在将下面的M3换成zhonghuahk1