Board logo

标题: [讨论]关于源代码的免杀策略 [打印本页]

作者: richy    时间: 2008-7-22 09:50     标题: [讨论]关于源代码的免杀策略

[讨论]关于源代码的免杀策略
最近写代码写的晕头转向,前不久自己的后门因为被杀导致两台非常重要的商业肉鸡飞了,突然意识到飘絮远控免杀的重要性,今天找到《基于VC源代码的免杀策略》的作者s7lx,找他征求这篇文章的截图,供己学习,结果遭到拒绝,并要求用飘絮的源码交换,于是我放弃了这个念头,回到EST再次请教大大们提供好的免杀策略。

    上个关于内网入侵的问题已经被‘独孤依人’完美的解决了。得到所有的内网权限。

关于源码免杀,我所知道的增加nop,修改工程名 函数名 资源名,希望对此有所了解的朋友畅所欲言。
作者: 摩托车    时间: 2008-7-22 09:50

楼主中过马吗?知道现在放马的都是什么德性吗?阿尔卑斯与八宝糖还有冷苹果
帖子66 精华0 积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 赚更多的钱

e.viloctal
晶莹剔透§烈日灼然
作者: SJPP    时间: 2008-7-22 09:50

呵呵`,看下热闹~~~~~~~~~~~~~~~~~~~~~~

                   免杀有那么麻烦么?   ~~~~~~~~~~~~~~~~~~~~~~~~~~我欲向善而羞涩,我欲从恶而胆怯!
帖子4 精华0 积分7 阅读权限40 性别男 在线时间2 小时 注册时间2008-6-18 最后登录2008-6-27 查看详细资料引用 报告 回复 TOP 少女暴富的隐秘(图)

黑鱼儿
晶莹剔透§烈日灼然
作者: qpqlqm6    时间: 2008-7-22 09:50

我试过将部分函数inline ,修改if顺序,switch顺序…………反正瞎搞……
帖子9 精华0 积分7 阅读权限40 在线时间13 小时 注册时间2008-5-31 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

洋洋洒洒
荣誉会员

作者: 易水寒    时间: 2008-7-22 09:50

shellcode
凑字阿尔卑斯与八宝糖还有冷苹果
帖子66 精华0 积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

hackbear
晶莹剔透§烈日灼然
作者: 珉头    时间: 2008-7-22 09:50

无导入表,加几个反高启发处理
很多杀毒都是跟下PE结构,所以nop的时代已经过去了
看韬弟以前的代码都是加垃圾代码过杀毒,2004.以前可以,2005以后就越来越不现实了
我用delphi,被nod32定了ntdll的调用,索性用动态加载的方式重新写了winsvc.pas,以后杀哪个单元我就重新写哪个单元,直到最后IAT里它没东西可定
shellcode比较麻烦,代码少容易,代码多了。。。就晕了
帖子5 精华0 积分12 阅读权限40 在线时间2 小时 注册时间2005-10-25 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

7个b
晶莹剔透§烈日灼然
作者: 马可波罗    时间: 2008-7-22 09:50

加汇编和调整单元文件的次序,这方法对卡巴比较有效.
对付其他杀软都比较容易,而NOD32确实很难处理.
帖子35 精华0 积分128 阅读权限40 在线时间18 小时 注册时间2007-9-24 最后登录2008-7-6 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

hackbear
晶莹剔透§烈日灼然
作者: skylongo    时间: 2008-7-22 09:50

NOD32最干净利索的处理就是从导入表中把它定位的函数消灭掉
所以我才重写单元
帖子5 精华0 积分12 阅读权限40 在线时间2 小时 注册时间2005-10-25 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

S-COOL
晶莹剔透§烈日灼然
作者: 周星星    时间: 2008-7-22 09:50

引用:
原帖由 hackbear 于 2008-6-25 00:02 发表
无导入表,加几个反高启发处理
很多杀毒都是跟下PE结构,所以nop的时代已经过去了
看韬弟以前的代码都是加垃圾代码过杀毒,2004.以前可以,2005以后就越来越不现实了
我用delphi,被nod32定了ntdll的调用,索性用动态加载的方式 ...
老熊不愧是自己写远控的,呵呵。。学习了。。
帖子3 精华0 积分13 阅读权限40 在线时间20 小时 注册时间2008-6-22 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

7个b
晶莹剔透§烈日灼然
作者: 卢彬    时间: 2008-7-22 09:50

to:hackbear
消灭掉?是把函数调用的位置打乱吧...
  重写单元很郁闷.
麻烦老熊说说怎么重写法?
帖子35 精华0 积分128 阅读权限40 在线时间18 小时 注册时间2007-9-24 最后登录2008-7-6 查看详细资料引用 报告 回复 TOP

asm
运维管理组

作者: 6G150    时间: 2008-7-22 09:50

在某篇帖子里,我看到LZ说要公布“飘絮”的源码,而在这个帖子里,我似乎又听到另外的声音。既然那个帖子说大话要公布代码,LZ又何必小气捏,直接用源码跟他换吧。。。。 游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn
帖子1598 精华30 积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

2ndspace
晶莹剔透§烈日灼然
作者: sghfxp    时间: 2008-7-22 09:50

我也在期待呢..
顺便问一下.LZ的源码是用什么语言写的??
帖子27 精华0 积分65 阅读权限40 性别男 在线时间20 小时 注册时间2006-5-1 最后登录2008-7-4 查看详细资料引用 报告 回复 TOP

2ndspace
晶莹剔透§烈日灼然
作者: 李寻欢    时间: 2008-7-22 09:50

记得那时候做灰鸽子免杀...可是花了很多功夫呀..
果然不付我....一年内免杀成功.

P.S. 还是劝LZ多做几个后门!!!
帖子27 精华0 积分65 阅读权限40 性别男 在线时间20 小时 注册时间2006-5-1 最后登录2008-7-4 查看详细资料引用 报告 回复 TOP

int21
晶莹剔透§烈日灼然
作者: 1606    时间: 2008-7-22 09:50

加点垃圾循环,耗它几秒钟CPU
帖子2 精华0 积分4 阅读权限40 在线时间1 小时 注册时间2005-7-19 最后登录2008-7-4 查看详细资料引用 报告 回复 TOP

letwuwu
晶莹剔透§烈日灼然
作者: 小兵张噶    时间: 2008-7-22 09:50

你可以到这个网站的论坛看看
我没有做过免杀,不过我看到这个网站聚集了一些人,你可以在里面问问,可能可以帮你解决。


ps:http://www.cnad110.com
帖子1 精华0 积分1 阅读权限40 在线时间1 小时 注册时间2008-7-8 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

heiye88
晶莹剔透§烈日灼然
作者: win    时间: 2008-7-22 09:50

其实加注释就可以了。鸟大了,什么林子都飞.
帖子12 精华0 积分25 阅读权限40 性别男 来自南方 在线时间6 小时 注册时间2008-4-6 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

cnad110
晶莹剔透§烈日灼然
作者: 好牙烟    时间: 2008-7-22 09:50

上个关于内网入侵的问题已经被‘独孤依人’完美的解决了。得到所有的内网权限。
哥们能否具体说说解决过程和方法呢。。大家也学习一下。
帖子64 精华0 积分239 阅读权限40 在线时间124 小时 注册时间2007-1-25 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

lxl0528
晶莹剔透§烈日灼然




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2