[讨论]下载者的讨论(页 1) - 技术交流 - 【3.A.S.T】网络安全爱好者 -- 网络安全，势在必行

虚竹发表于 2008-7-20 23:24

[讨论]下载者的讨论

[讨论]下载者的讨论
议题作者：softbug [E.S.T]
信息来源：邪恶八进制信息安全团队（[url=http://www.eviloctal.com/]www.eviloctal.com[/url]）

构造普通的下载者代码。Delphi生成出来15K,北斗压缩后10K.

NOd32仿佛专杀URLDownloadToFile函数

URLDownloadToFile一般只用于IE中，于是想到：
1.如果注入IE再用此函数能否不被杀？
2.如何用其他的函数取代URLDownloadToFile?(winsock?)论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华[url=http://forum.eviloctal.com/digest.php?authorid=1348]14[/url] 积分6821 阅读权限200 性别男在线时间96 小时注册时间2005-1-7 最后登录2008-7-17 [url=http://www.iisuser.com]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=1348]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=24674&repquote=130694&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=24674&pid=130694&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日，预测咨询，公司改名，权威易经[/url]

[url=http://forum.eviloctal.com/space-uid-1348.html]softbug[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
技术核心组
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level2.gif[/img]

狼来了 发表于 2008-7-20 23:24

2.如何用其他的函数取代URLDownloadToFile?(winsock?)

这点已经用winsock实现了，代码大了3K! 呵呵还算过的去论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华[url=http://forum.eviloctal.com/digest.php?authorid=1348]14[/url] 积分6821 阅读权限200 性别男在线时间96 小时注册时间2005-1-7 最后登录2008-7-17 [url=http://www.iisuser.com]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=1348]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=24674&repquote=62399&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=24674&pid=62399&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=兼职&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]赚更多的钱[/url]

[url=http://forum.eviloctal.com/space-uid-1348.html]softbug[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
技术核心组
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level2.gif[/img]

Ange细 发表于 2008-7-20 23:24

1.如果注入IE再用此函数能否不被杀？

1）需要2个文件，不太方便
2）带资源的方式，容易被杀

所以我采用第二种论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华[url=http://forum.eviloctal.com/digest.php?authorid=1348]14[/url] 积分6821 阅读权限200 性别男在线时间96 小时注册时间2005-1-7 最后登录2008-7-17 [url=http://www.iisuser.com]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=1348]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=24674&repquote=62401&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=24674&pid=62401&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=鲜花预定&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]爱要怎么说出口[/url]

[url=http://forum.eviloctal.com/space-uid-64507.html]asm[/url] [img]http://forum.eviloctal.com/customavatars/64507.jpg[/img]
运维管理组
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img]

大强发表于 2008-7-20 23:24

最近偶刚写了一个，5k，穿墙，免杀．．[img]http://forum.eviloctal.com/images/smilies/yangcong/60.gif[/img]

自己构件一个URLDownloadToFileA

反汇编urlmon.dll，把里面的代码提取出来，重新构造一个URLDownloadToSaveFileA：

.text:75CBB12F URLDownloadToFileA proc near
.text:75CBB12F       mov edi, edi
.text:75CBB131       push  ebp
.text:75CBB132       mov ebp, esp
.text:75CBB134       sub esp, 110h
.text:75CBB13A       mov eax, dword_75CD30F8
.text:75CBB13F       push  ebx
.text:75CBB140       mov ebx, [ebp+10h]
.text:75CBB143       mov [ebp-4], eax
.text:75CBB146       mov eax, [ebp+8]
.text:75CBB149       push  esi
.text:75CBB14A       mov esi, [ebp+0Ch]
.text:75CBB14D       push  edi
.text:75CBB14E       mov edi, ds:lstrlenA
.text:75CBB154       mov [ebp-10Ch], eax
.text:75CBB15A       mov eax, [ebp+18h]
.text:75CBB15D       push  esi
.text:75CBB15E       mov [ebp-110h], eax
.text:75CBB164       call  edi ; lstrlenA
.text:75CBB166       lea eax, [eax+eax+2]
.text:75CBB16A       push  eax
.text:75CBB16B       lea ecx, [ebp-104h]
.text:75CBB171       mov [ebp-108h], eax
.text:75CBB177       call  loc_75CB9CB2
.text:75CBB177
.text:75CBB17C       xor eax, eax
.text:75CBB17E       cmp [ebp-104h], eax
.text:75CBB184       jnz short loc_75CBB190
.text:75CBB184
.text:75CBB186       mov esi, 8007000Eh
.text:75CBB18B       jmp loc_75CBB214
.text:75CBB18B
.text:75CBB190 ; ---------------------------------------------------------------------------
.text:75CBB190
.text:75CBB190 loc_75CBB190:             ; CODE XREF: URLDownloadToFileA+55j
.text:75CBB190       push  dword ptr [ebp-108h]
.text:75CBB196       push  dword ptr [ebp-104h]
.text:75CBB19C       push  0FFFFFFFFh
.text:75CBB19E       push  esi
.text:75CBB19F       mov esi, ds:MultiByteToWideChar
.text:75CBB1A5       push  eax
.text:75CBB1A6       push  eax
.text:75CBB1A7       call  esi ; MultiByteToWideChar
.text:75CBB1A9       mov eax, [ebp-104h]
.text:75CBB1AF       push  ebx
.text:75CBB1B0       mov [ebp-108h], eax
.text:75CBB1B6       call  edi ; lstrlenA
.text:75CBB1B8       lea edi, [eax+eax+2]
.text:75CBB1BC       push  edi
.text:75CBB1BD       lea ecx, [ebp-84h]
.text:75CBB1C3       call  loc_75CB9CB2
.text:75CBB1C3
.text:75CBB1C8       xor eax, eax
.text:75CBB1CA       cmp [ebp-84h], eax
.text:75CBB1D0       jnz short loc_75CBB1D9
.text:75CBB1D0
.text:75CBB1D2       mov esi, 8007000Eh
.text:75CBB1D7       jmp short loc_75CBB209
.text:75CBB1D7
.text:75CBB1D9 ; ---------------------------------------------------------------------------
.text:75CBB1D9
.text:75CBB1D9 loc_75CBB1D9:             ; CODE XREF: URLDownloadToFileA+A1j
.text:75CBB1D9       push  edi
.text:75CBB1DA       push  dword ptr [ebp-84h]
.text:75CBB1E0       push  0FFFFFFFFh
.text:75CBB1E2       push  ebx
.text:75CBB1E3       push  eax
.text:75CBB1E4       push  eax
.text:75CBB1E5       call  esi
.text:75CBB1E7       push  dword ptr [ebp-110h]
.text:75CBB1ED       push  dword ptr [ebp+14h]
.text:75CBB1F0       push  dword ptr [ebp-84h]
.text:75CBB1F6       push  dword ptr [ebp-108h]
.text:75CBB1FC       push  dword ptr [ebp-10Ch]
.text:75CBB202       call  URLDownloadToFileW
.text:75CBB202
.text:75CBB207       mov esi, eax
.text:75CBB207
.text:75CBB209
.text:75CBB209 loc_75CBB209:             ; CODE XREF: URLDownloadToFileA+A8j
.text:75CBB209       lea ecx, [ebp-84h]
.text:75CBB20F       call  loc_75CB9D06
.text:75CBB20F
.text:75CBB214
.text:75CBB214 loc_75CBB214:             ; CODE XREF: URLDownloadToFileA+5Cj
.text:75CBB214       lea ecx, [ebp-104h]
.text:75CBB21A       call  loc_75CB9D06
.text:75CBB21A
.text:75CBB21F       mov ecx, [ebp-4]
.text:75CBB222       pop edi
.text:75CBB223       mov eax, esi
.text:75CBB225       pop esi
.text:75CBB226       pop ebx
.text:75CBB227       call  sub_75C61670
.text:75CBB227
.text:75CBB22C       leave
.text:75CBB22D       retn  14h
.text:75CBB22D
.text:75CBB22D URLDownloadToFileA endp ; sp = 34h游戏吧  http://www.game8.cc/MyBlog http://www.asm32.cn
帖子1598 精华[url=http://forum.eviloctal.com/digest.php?authorid=64507]30[/url] 积分8742 阅读权限150 性别男在线时间954 小时注册时间2006-9-21 最后登录2008-7-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=64507]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=24674&repquote=104326&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=24674&pid=104326&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-141664.html]1种痛[/url] [img]http://forum.eviloctal.com/images/avatars/pw/eviloctal4.gif[/img]
晶莹剔透§烈日灼然

小雨NEIL 发表于 2008-7-20 23:24

对于注入IE 这个我做实验了还是会被杀.
特征很明显.
可以换一种方法试试.
帖子7 精华[url=http://forum.eviloctal.com/digest.php?authorid=141664]0[/url] 积分24 阅读权限40 性别男来自华夏黑客联盟在线时间24 小时注册时间2007-9-28 最后登录2007-12-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=141664]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=24674&repquote=104349&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=24674&pid=104349&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=干洗店加盟&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]少女暴富的隐秘（图）[/url]

[url=http://forum.eviloctal.com/space-uid-64507.html]asm[/url] [img]http://forum.eviloctal.com/customavatars/64507.jpg[/img]
运维管理组
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img]

binfengbin 发表于 2008-7-20 23:24

引用:
引用第5楼1种痛于2007-11-21 12:30发表的 :
对于注入IE 这个我做实验了还是会被杀.
特征很明显.
可以换一种方法试试.
问题的关键不是注入ＩＥ被杀，而是你用什么办法注入．．[img]http://forum.eviloctal.com/images/smilies/yangcong/59.gif[/img]游戏吧 http://www.game8.cc/MyBlog http://www.asm32.cn
帖子1598 精华[url=http://forum.eviloctal.com/digest.php?authorid=64507]30[/url] 积分8742 阅读权限150 性别男在线时间954 小时注册时间2006-9-21 最后登录2008-7-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=64507]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=24674&repquote=104353&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=24674&pid=104353&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]

[url=http://forum.eviloctal.com/space-uid-74548.html]heiye88[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

獨特感覺 发表于 2008-7-20 23:24

asm开源看看你那个5K
帖子64 精华[url=http://forum.eviloctal.com/digest.php?authorid=74548]0[/url] 积分239 阅读权限40 在线时间124 小时注册时间2007-1-25 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=74548]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=24674&repquote=104427&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=24674&pid=104427&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]

[url=http://forum.eviloctal.com/space-uid-63601.html]52piaoyu[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

嘉明发表于 2008-7-20 23:24

这样的过不了主动
不过你可以考虑用下wininet这个函数试试
帖子4 精华[url=http://forum.eviloctal.com/digest.php?authorid=63601]0[/url] 积分14 阅读权限40 性别男在线时间12 小时注册时间2006-9-10 最后登录2008-5-25 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=63601]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=24674&repquote=142109&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=24674&pid=142109&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-46567.html]husheng34[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img]

页: [1]

【3.A.S.T】网络安全爱好者's Archiver

[讨论]下载者的讨论