[讨论]关于源代码的免杀策略
[讨论]关于源代码的免杀策略最近写代码写的晕头转向,前不久自己的后门因为被杀导致两台非常重要的商业肉鸡飞了,突然意识到飘絮远控免杀的重要性,今天找到《基于VC源代码的免杀策略》的作者s7lx,找他征求这篇文章的截图,供己学习,结果遭到拒绝,并要求用飘絮的源码交换,于是我放弃了这个念头,回到EST再次请教大大们提供好的免杀策略。
上个关于内网入侵的问题已经被‘独孤依人’完美的解决了。得到所有的内网权限。
关于源码免杀,我所知道的增加nop,修改工程名 函数名 资源名,希望对此有所了解的朋友畅所欲言。 楼主中过马吗?知道现在放马的都是什么德性吗?阿尔卑斯与八宝糖还有冷苹果
帖子66 精华[url=http://forum.eviloctal.com/digest.php?authorid=149442]0[/url] 积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=149442]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=144943&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=144943&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=兼职&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]赚更多的钱[/url]
[url=http://forum.eviloctal.com/space-uid-164809.html]e.viloctal[/url] [img]http://forum.eviloctal.com/images/avatars/14.gif[/img]
晶莹剔透§烈日灼然 呵呵`,看下热闹~~~~~~~~~~~~~~~~~~~~~~
免杀有那么麻烦么? ~~~~~~~~~~~~~~~~~~~~~~~~~~我欲向善而羞涩,我欲从恶而胆怯!
帖子4 精华[url=http://forum.eviloctal.com/digest.php?authorid=164809]0[/url] 积分7 阅读权限40 性别男 在线时间2 小时 注册时间2008-6-18 最后登录2008-6-27 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=164809]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=144957&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=144957&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=干洗店加盟&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]少女暴富的隐秘(图)[/url]
[url=http://forum.eviloctal.com/space-uid-164007.html]黑鱼儿[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 我试过将部分函数inline ,修改if顺序,switch顺序…………反正瞎搞……
帖子9 精华[url=http://forum.eviloctal.com/digest.php?authorid=164007]0[/url] 积分7 阅读权限40 在线时间13 小时 注册时间2008-5-31 最后登录2008-7-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=164007]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=144994&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=144994&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP
[url=http://forum.eviloctal.com/space-uid-149442.html]洋洋洒洒[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] shellcode
凑字阿尔卑斯与八宝糖还有冷苹果
帖子66 精华[url=http://forum.eviloctal.com/digest.php?authorid=149442]0[/url] 积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=149442]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=144996&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=144996&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-16152.html]hackbear[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 无导入表,加几个反高启发处理
很多杀毒都是跟下PE结构,所以nop的时代已经过去了
看韬弟以前的代码都是加垃圾代码过杀毒,2004.以前可以,2005以后就越来越不现实了
我用delphi,被nod32定了ntdll的调用,索性用动态加载的方式重新写了winsvc.pas,以后杀哪个单元我就重新写哪个单元,直到最后IAT里它没东西可定
shellcode比较麻烦,代码少容易,代码多了。。。就晕了
帖子5 精华[url=http://forum.eviloctal.com/digest.php?authorid=16152]0[/url] 积分12 阅读权限40 在线时间2 小时 注册时间2005-10-25 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=16152]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=145001&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=145001&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-141181.html]7个b[/url] [img]http://forum.eviloctal.com/images/avatars/14.gif[/img]
晶莹剔透§烈日灼然 加汇编和调整单元文件的次序,这方法对卡巴比较有效.
对付其他杀软都比较容易,而NOD32确实很难处理.[img]http://forum.eviloctal.com/images/smilies/default/mad.gif[/img]
帖子35 精华[url=http://forum.eviloctal.com/digest.php?authorid=141181]0[/url] 积分128 阅读权限40 在线时间18 小时 注册时间2007-9-24 最后登录2008-7-6 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=141181]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=145014&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=145014&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-16152.html]hackbear[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 NOD32最干净利索的处理就是从导入表中把它定位的函数消灭掉
所以我才重写单元
帖子5 精华[url=http://forum.eviloctal.com/digest.php?authorid=16152]0[/url] 积分12 阅读权限40 在线时间2 小时 注册时间2005-10-25 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=16152]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=145036&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=145036&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP
[url=http://forum.eviloctal.com/space-uid-165026.html]S-COOL[/url] [img]http://forum.eviloctal.com/images/avatars/18.gif[/img]
晶莹剔透§烈日灼然 引用:
原帖由 hackbear 于 2008-6-25 00:02 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=145001&ptid=33430][img]http://forum.eviloctal.com/images/common/back.gif[/img][/url]
无导入表,加几个反高启发处理
很多杀毒都是跟下PE结构,所以nop的时代已经过去了
看韬弟以前的代码都是加垃圾代码过杀毒,2004.以前可以,2005以后就越来越不现实了
我用delphi,被nod32定了ntdll的调用,索性用动态加载的方式 ...
老熊不愧是自己写远控的,呵呵。。学习了。。
帖子3 精华[url=http://forum.eviloctal.com/digest.php?authorid=165026]0[/url] 积分13 阅读权限40 在线时间20 小时 注册时间2008-6-22 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=165026]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=145039&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=145039&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP
[url=http://forum.eviloctal.com/space-uid-141181.html]7个b[/url] [img]http://forum.eviloctal.com/images/avatars/14.gif[/img]
晶莹剔透§烈日灼然 to:hackbear
消灭掉?是把函数调用的位置打乱吧...
重写单元很郁闷.[img]http://forum.eviloctal.com/images/smilies/default/mad.gif[/img]
麻烦老熊说说怎么重写法?
帖子35 精华[url=http://forum.eviloctal.com/digest.php?authorid=141181]0[/url] 积分128 阅读权限40 在线时间18 小时 注册时间2007-9-24 最后登录2008-7-6 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=141181]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=145251&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=145251&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP
[url=http://forum.eviloctal.com/space-uid-64507.html]asm[/url] [img]http://forum.eviloctal.com/customavatars/64507.jpg[/img]
运维管理组
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 在某篇帖子里,我看到LZ说要公布“飘絮”的源码,而在这个帖子里,我似乎又听到另外的声音。既然那个帖子说大话要公布代码,LZ又何必小气捏,直接用源码跟他换吧。。。。 [img]http://forum.eviloctal.com/images/smilies/default/lol.gif[/img]游戏吧 http://www.game8.cc/MyBlog http://www.asm32.cn
帖子1598 精华[url=http://forum.eviloctal.com/digest.php?authorid=64507]30[/url] 积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=64507]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=145261&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=145261&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP
[url=http://forum.eviloctal.com/space-uid-46682.html]2ndspace[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 我也在期待呢..
顺便问一下.LZ的源码是用什么语言写的??
帖子27 精华[url=http://forum.eviloctal.com/digest.php?authorid=46682]0[/url] 积分65 阅读权限40 性别男 在线时间20 小时 注册时间2006-5-1 最后登录2008-7-4 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=46682]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=145303&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=145303&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP
[url=http://forum.eviloctal.com/space-uid-46682.html]2ndspace[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 记得那时候做灰鸽子免杀...可是花了很多功夫呀..
果然不付我....一年内免杀成功.
P.S. 还是劝LZ多做几个后门!!! [img]http://forum.eviloctal.com/images/smilies/default/lol.gif[/img] [img]http://forum.eviloctal.com/images/smilies/default/lol.gif[/img][img]http://forum.eviloctal.com/images/smilies/default/lol.gif[/img]
帖子27 精华[url=http://forum.eviloctal.com/digest.php?authorid=46682]0[/url] 积分65 阅读权限40 性别男 在线时间20 小时 注册时间2006-5-1 最后登录2008-7-4 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=46682]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=145304&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=145304&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP
[url=http://forum.eviloctal.com/space-uid-7804.html]int21[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 加点垃圾循环,耗它几秒钟CPU
帖子2 精华[url=http://forum.eviloctal.com/digest.php?authorid=7804]0[/url] 积分4 阅读权限40 在线时间1 小时 注册时间2005-7-19 最后登录2008-7-4 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=7804]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=145372&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=145372&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP
[url=http://forum.eviloctal.com/space-uid-161549.html]letwuwu[/url] [img]http://forum.eviloctal.com/images/avatars/07.gif[/img]
晶莹剔透§烈日灼然 你可以到这个网站的论坛看看
我没有做过免杀,不过我看到这个网站聚集了一些人,你可以在里面问问,可能可以帮你解决。
ps:[url=http://www.cnad110.com]http://www.cnad110.com[/url]
帖子1 精华[url=http://forum.eviloctal.com/digest.php?authorid=165620]0[/url] 积分1 阅读权限40 在线时间1 小时 注册时间2008-7-8 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=165620]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=145573&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=145573&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP
[url=http://forum.eviloctal.com/space-uid-74548.html]heiye88[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 其实加注释就可以了。鸟大了,什么林子都飞.
帖子12 精华[url=http://forum.eviloctal.com/digest.php?authorid=161549]0[/url] 积分25 阅读权限40 性别男 来自南方 在线时间6 小时 注册时间2008-4-6 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=161549]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=145568&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=145568&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP
[url=http://forum.eviloctal.com/space-uid-165620.html]cnad110[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 上个关于内网入侵的问题已经被‘独孤依人’完美的解决了。得到所有的内网权限。
哥们能否具体说说解决过程和方法呢。。大家也学习一下。
帖子64 精华[url=http://forum.eviloctal.com/digest.php?authorid=74548]0[/url] 积分239 阅读权限40 在线时间124 小时 注册时间2007-1-25 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=74548]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=33430&repquote=145576&extra=page%3D1&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=33430&pid=145576&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP
[url=http://forum.eviloctal.com/space-uid-43238.html]lxl0528[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然
页:
[1]