【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [讨论]关于源代码的免杀策略 [打印本页]

作者: richy 时间: 2008-7-22 09:50 标题: [讨论]关于源代码的免杀策略

[讨论]关于源代码的免杀策略
最近写代码写的晕头转向，前不久自己的后门因为被杀导致两台非常重要的商业肉鸡飞了，突然意识到飘絮远控免杀的重要性，今天找到《基于VC源代码的免杀策略》的作者s7lx，找他征求这篇文章的截图，供己学习，结果遭到拒绝，并要求用飘絮的源码交换，于是我放弃了这个念头，回到EST再次请教大大们提供好的免杀策略。

上个关于内网入侵的问题已经被‘独孤依人’完美的解决了。得到所有的内网权限。

关于源码免杀，我所知道的增加nop，修改工程名函数名资源名，希望对此有所了解的朋友畅所欲言。

作者: 摩托车 时间: 2008-7-22 09:50

楼主中过马吗?知道现在放马的都是什么德性吗?阿尔卑斯与八宝糖还有冷苹果
帖子66 精华0 积分289 阅读权限100 性别男在线时间141 小时注册时间2007-11-21 最后登录2008-7-18 查看详细资料引用报告回复 TOP 赚更多的钱

e.viloctal

晶莹剔透§烈日灼然

作者: SJPP 时间: 2008-7-22 09:50

呵呵`，看下热闹~~~~~~~~~~~~~~~~~~~~~~

免杀有那么麻烦么? ~~~~~~~~~~~~~~~~~~~~~~~~~~我欲向善而羞涩,我欲从恶而胆怯!
帖子4 精华0 积分7 阅读权限40 性别男在线时间2 小时注册时间2008-6-18 最后登录2008-6-27 查看详细资料引用报告回复 TOP 少女暴富的隐秘（图）

黑鱼儿

晶莹剔透§烈日灼然

作者: qpqlqm6 时间: 2008-7-22 09:50

我试过将部分函数inline ,修改if顺序，switch顺序…………反正瞎搞……
帖子9 精华0 积分7 阅读权限40 在线时间13 小时注册时间2008-5-31 最后登录2008-7-20 查看详细资料引用报告回复 TOP

洋洋洒洒

荣誉会员

作者: 易水寒 时间: 2008-7-22 09:50

shellcode
凑字阿尔卑斯与八宝糖还有冷苹果
帖子66 精华0 积分289 阅读权限100 性别男在线时间141 小时注册时间2007-11-21 最后登录2008-7-18 查看详细资料引用报告回复 TOP 让女孩一夜变的更有女人味

hackbear

晶莹剔透§烈日灼然

作者: 珉头 时间: 2008-7-22 09:50

无导入表，加几个反高启发处理
很多杀毒都是跟下PE结构，所以nop的时代已经过去了
看韬弟以前的代码都是加垃圾代码过杀毒，2004.以前可以，2005以后就越来越不现实了
我用delphi，被nod32定了ntdll的调用，索性用动态加载的方式重新写了winsvc.pas，以后杀哪个单元我就重新写哪个单元，直到最后IAT里它没东西可定
shellcode比较麻烦，代码少容易，代码多了。。。就晕了
帖子5 精华0 积分12 阅读权限40 在线时间2 小时注册时间2005-10-25 最后登录2008-7-18 查看详细资料引用报告回复 TOP 让女孩一夜变的更有女人味

7个b

晶莹剔透§烈日灼然

作者: 马可波罗 时间: 2008-7-22 09:50

加汇编和调整单元文件的次序,这方法对卡巴比较有效.
对付其他杀软都比较容易,而NOD32确实很难处理.

帖子35 精华0 积分128 阅读权限40 在线时间18 小时注册时间2007-9-24 最后登录2008-7-6 查看详细资料引用报告回复 TOP 让女孩一夜变的更有女人味

hackbear

晶莹剔透§烈日灼然

作者: skylongo 时间: 2008-7-22 09:50

NOD32最干净利索的处理就是从导入表中把它定位的函数消灭掉
所以我才重写单元
帖子5 精华0 积分12 阅读权限40 在线时间2 小时注册时间2005-10-25 最后登录2008-7-18 查看详细资料引用报告回复 TOP

S-COOL

晶莹剔透§烈日灼然

作者: 周星星 时间: 2008-7-22 09:50

引用:
原帖由 hackbear 于 2008-6-25 00:02 发表

无导入表，加几个反高启发处理
很多杀毒都是跟下PE结构，所以nop的时代已经过去了
看韬弟以前的代码都是加垃圾代码过杀毒，2004.以前可以，2005以后就越来越不现实了
我用delphi，被nod32定了ntdll的调用，索性用动态加载的方式 ...
老熊不愧是自己写远控的，呵呵。。学习了。。
帖子3 精华0 积分13 阅读权限40 在线时间20 小时注册时间2008-6-22 最后登录2008-7-18 查看详细资料引用报告回复 TOP

7个b

晶莹剔透§烈日灼然

作者: 卢彬 时间: 2008-7-22 09:50

to:hackbear
消灭掉?是把函数调用的位置打乱吧...
重写单元很郁闷.

麻烦老熊说说怎么重写法?
帖子35 精华0 积分128 阅读权限40 在线时间18 小时注册时间2007-9-24 最后登录2008-7-6 查看详细资料引用报告回复 TOP

asm

运维管理组

作者: 6G150 时间: 2008-7-22 09:50

在某篇帖子里，我看到LZ说要公布“飘絮”的源码，而在这个帖子里，我似乎又听到另外的声音。既然那个帖子说大话要公布代码，LZ又何必小气捏，直接用源码跟他换吧。。。。

游戏吧 http://www.game8.cc/MyBlog http://www.asm32.cn
帖子1598 精华30 积分8742 阅读权限150 性别男在线时间954 小时注册时间2006-9-21 最后登录2008-7-20 查看详细资料引用报告回复 TOP

2ndspace

晶莹剔透§烈日灼然

作者: sghfxp 时间: 2008-7-22 09:50

我也在期待呢..
顺便问一下.LZ的源码是用什么语言写的??
帖子27 精华0 积分65 阅读权限40 性别男在线时间20 小时注册时间2006-5-1 最后登录2008-7-4 查看详细资料引用报告回复 TOP

2ndspace

晶莹剔透§烈日灼然

作者: 李寻欢 时间: 2008-7-22 09:50

记得那时候做灰鸽子免杀...可是花了很多功夫呀..
果然不付我....一年内免杀成功.

P.S. 还是劝LZ多做几个后门!!!

帖子27 精华0 积分65 阅读权限40 性别男在线时间20 小时注册时间2006-5-1 最后登录2008-7-4 查看详细资料引用报告回复 TOP

int21

晶莹剔透§烈日灼然

作者: 1606 时间: 2008-7-22 09:50

加点垃圾循环,耗它几秒钟CPU
帖子2 精华0 积分4 阅读权限40 在线时间1 小时注册时间2005-7-19 最后登录2008-7-4 查看详细资料引用报告回复 TOP

letwuwu

晶莹剔透§烈日灼然

作者: 小兵张噶 时间: 2008-7-22 09:50

你可以到这个网站的论坛看看
我没有做过免杀，不过我看到这个网站聚集了一些人，你可以在里面问问，可能可以帮你解决。

ps:http://www.cnad110.com
帖子1 精华0 积分1 阅读权限40 在线时间1 小时注册时间2008-7-8 最后登录2008-7-18 查看详细资料引用报告回复 TOP

heiye88

晶莹剔透§烈日灼然

作者: win 时间: 2008-7-22 09:50

其实加注释就可以了。鸟大了,什么林子都飞.
帖子12 精华0 积分25 阅读权限40 性别男来自南方在线时间6 小时注册时间2008-4-6 最后登录2008-7-18 查看详细资料引用报告回复 TOP

cnad110

晶莹剔透§烈日灼然

作者: 好牙烟 时间: 2008-7-22 09:50

上个关于内网入侵的问题已经被‘独孤依人’完美的解决了。得到所有的内网权限。
哥们能否具体说说解决过程和方法呢。。大家也学习一下。
帖子64 精华0 积分239 阅读权限40 在线时间124 小时注册时间2007-1-25 最后登录2008-7-18 查看详细资料引用报告回复 TOP

lxl0528

晶莹剔透§烈日灼然

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)