返回列表 发帖
richy

Rank: 5Rank: 5

帖子
198 
积分
509 
威望
816  
金钱
666  
在线时间
1 小时 

灌水王
1 跳转到 » 倒序看帖
打印
tT
发表于 2008-7-22 09:50 | 只看该作者

[讨论]关于源代码的免杀策略

源代码, 讨论
[讨论]关于源代码的免杀策略
最近写代码写的晕头转向,前不久自己的后门因为被杀导致两台非常重要的商业肉鸡飞了,突然意识到飘絮远控免杀的重要性,今天找到《基于VC源代码的免杀策略》的作者s7lx,找他征求这篇文章的截图,供己学习,结果遭到拒绝,并要求用飘絮的源码交换,于是我放弃了这个念头,回到EST再次请教大大们提供好的免杀策略。

    上个关于内网入侵的问题已经被‘独孤依人’完美的解决了。得到所有的内网权限。

关于源码免杀,我所知道的增加nop,修改工程名 函数名 资源名,希望对此有所了解的朋友畅所欲言。
收藏 分享

摩托车

Rank: 1

帖子
23 
积分
35 
威望
46  
金钱
46  
在线时间
0 小时 
2
发表于 2008-7-22 09:50 | 只看该作者
楼主中过马吗?知道现在放马的都是什么德性吗?阿尔卑斯与八宝糖还有冷苹果
帖子66 精华0 积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 赚更多的钱

e.viloctal
晶莹剔透§烈日灼然

TOP

SJPP

Rank: 1

帖子
10 
积分
15 
威望
20  
金钱
19  
在线时间
0 小时 
3
发表于 2008-7-22 09:50 | 只看该作者
呵呵`,看下热闹~~~~~~~~~~~~~~~~~~~~~~

                   免杀有那么麻烦么?   ~~~~~~~~~~~~~~~~~~~~~~~~~~我欲向善而羞涩,我欲从恶而胆怯!
帖子4 精华0 积分7 阅读权限40 性别男 在线时间2 小时 注册时间2008-6-18 最后登录2008-6-27 查看详细资料引用 报告 回复 TOP 少女暴富的隐秘(图)

黑鱼儿
晶莹剔透§烈日灼然

TOP

qpqlqm6

Rank: 4

帖子
166 
积分
435 
威望
700  
金钱
445  
在线时间
1 小时 
4
发表于 2008-7-22 09:50 | 只看该作者
我试过将部分函数inline ,修改if顺序,switch顺序…………反正瞎搞……
帖子9 精华0 积分7 阅读权限40 在线时间13 小时 注册时间2008-5-31 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

洋洋洒洒
荣誉会员

TOP

易水寒

Rank: 1

帖子
15 
积分
23 
威望
30  
金钱
30  
在线时间
0 小时 
5
发表于 2008-7-22 09:50 | 只看该作者
shellcode
凑字阿尔卑斯与八宝糖还有冷苹果
帖子66 精华0 积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

hackbear
晶莹剔透§烈日灼然

TOP

珉头

Rank: 1

帖子
33 
积分
48 
威望
63  
金钱
62  
在线时间
0 小时 
6
发表于 2008-7-22 09:50 | 只看该作者
无导入表,加几个反高启发处理
很多杀毒都是跟下PE结构,所以nop的时代已经过去了
看韬弟以前的代码都是加垃圾代码过杀毒,2004.以前可以,2005以后就越来越不现实了
我用delphi,被nod32定了ntdll的调用,索性用动态加载的方式重新写了winsvc.pas,以后杀哪个单元我就重新写哪个单元,直到最后IAT里它没东西可定
shellcode比较麻烦,代码少容易,代码多了。。。就晕了
帖子5 精华0 积分12 阅读权限40 在线时间2 小时 注册时间2005-10-25 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

7个b
晶莹剔透§烈日灼然

TOP

马可波罗

Rank: 1

帖子
17 
积分
26 
威望
34  
金钱
33  
在线时间
0 小时 
7
发表于 2008-7-22 09:50 | 只看该作者
加汇编和调整单元文件的次序,这方法对卡巴比较有效.
对付其他杀软都比较容易,而NOD32确实很难处理.
帖子35 精华0 积分128 阅读权限40 在线时间18 小时 注册时间2007-9-24 最后登录2008-7-6 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

hackbear
晶莹剔透§烈日灼然

TOP

skylongo

Rank: 1

帖子
22 
积分
33 
威望
44  
金钱
38  
在线时间
0 小时 
8
发表于 2008-7-22 09:50 | 只看该作者
NOD32最干净利索的处理就是从导入表中把它定位的函数消灭掉
所以我才重写单元
帖子5 精华0 积分12 阅读权限40 在线时间2 小时 注册时间2005-10-25 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

S-COOL
晶莹剔透§烈日灼然

TOP

周星星

Rank: 1

帖子
30 
积分
45 
威望
60  
金钱
60  
在线时间
0 小时 
9
发表于 2008-7-22 09:50 | 只看该作者
引用:
原帖由 hackbear 于 2008-6-25 00:02 发表
无导入表,加几个反高启发处理
很多杀毒都是跟下PE结构,所以nop的时代已经过去了
看韬弟以前的代码都是加垃圾代码过杀毒,2004.以前可以,2005以后就越来越不现实了
我用delphi,被nod32定了ntdll的调用,索性用动态加载的方式 ...
老熊不愧是自己写远控的,呵呵。。学习了。。
帖子3 精华0 积分13 阅读权限40 在线时间20 小时 注册时间2008-6-22 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

7个b
晶莹剔透§烈日灼然

TOP

卢彬

Rank: 1

帖子
积分
14 
威望
18  
金钱
18  
在线时间
0 小时 
10
发表于 2008-7-22 09:50 | 只看该作者
to:hackbear
消灭掉?是把函数调用的位置打乱吧...
  重写单元很郁闷.
麻烦老熊说说怎么重写法?
帖子35 精华0 积分128 阅读权限40 在线时间18 小时 注册时间2007-9-24 最后登录2008-7-6 查看详细资料引用 报告 回复 TOP

asm
运维管理组

TOP

6G150

Rank: 1

帖子
29 
积分
44 
威望
58  
金钱
51  
在线时间
0 小时 
11
发表于 2008-7-22 09:50 | 只看该作者
在某篇帖子里,我看到LZ说要公布“飘絮”的源码,而在这个帖子里,我似乎又听到另外的声音。既然那个帖子说大话要公布代码,LZ又何必小气捏,直接用源码跟他换吧。。。。 游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn
帖子1598 精华30 积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

2ndspace
晶莹剔透§烈日灼然

TOP

sghfxp

Rank: 1

帖子
17 
积分
24 
威望
30  
金钱
30  
在线时间
0 小时 
12
发表于 2008-7-22 09:50 | 只看该作者
我也在期待呢..
顺便问一下.LZ的源码是用什么语言写的??
帖子27 精华0 积分65 阅读权限40 性别男 在线时间20 小时 注册时间2006-5-1 最后登录2008-7-4 查看详细资料引用 报告 回复 TOP

2ndspace
晶莹剔透§烈日灼然

TOP

李寻欢

Rank: 1

帖子
积分
14 
威望
18  
金钱
18  
在线时间
0 小时 
13
发表于 2008-7-22 09:50 | 只看该作者
记得那时候做灰鸽子免杀...可是花了很多功夫呀..
果然不付我....一年内免杀成功.

P.S. 还是劝LZ多做几个后门!!!
帖子27 精华0 积分65 阅读权限40 性别男 在线时间20 小时 注册时间2006-5-1 最后登录2008-7-4 查看详细资料引用 报告 回复 TOP

int21
晶莹剔透§烈日灼然

TOP

1606

Rank: 1

帖子
24 
积分
36 
威望
48  
金钱
47  
在线时间
0 小时 
14
发表于 2008-7-22 09:50 | 只看该作者
加点垃圾循环,耗它几秒钟CPU
帖子2 精华0 积分4 阅读权限40 在线时间1 小时 注册时间2005-7-19 最后登录2008-7-4 查看详细资料引用 报告 回复 TOP

letwuwu
晶莹剔透§烈日灼然

TOP

小兵张噶

Rank: 1

帖子
19 
积分
29 
威望
38  
金钱
38  
在线时间
0 小时 
15
发表于 2008-7-22 09:50 | 只看该作者
你可以到这个网站的论坛看看
我没有做过免杀,不过我看到这个网站聚集了一些人,你可以在里面问问,可能可以帮你解决。


ps:http://www.cnad110.com
帖子1 精华0 积分1 阅读权限40 在线时间1 小时 注册时间2008-7-8 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

heiye88
晶莹剔透§烈日灼然

TOP

win

Rank: 1

帖子
13 
积分
20 
威望
26  
金钱
25  
在线时间
0 小时 
16
发表于 2008-7-22 09:50 | 只看该作者
其实加注释就可以了。鸟大了,什么林子都飞.
帖子12 精华0 积分25 阅读权限40 性别男 来自南方 在线时间6 小时 注册时间2008-4-6 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

cnad110
晶莹剔透§烈日灼然

TOP

好牙烟

Rank: 1

帖子
13 
积分
19 
威望
25  
金钱
23  
在线时间
0 小时 
17
发表于 2008-7-22 09:50 | 只看该作者
上个关于内网入侵的问题已经被‘独孤依人’完美的解决了。得到所有的内网权限。
哥们能否具体说说解决过程和方法呢。。大家也学习一下。
帖子64 精华0 积分239 阅读权限40 在线时间124 小时 注册时间2007-1-25 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

lxl0528
晶莹剔透§烈日灼然

TOP

返回列表