[讨论]关于源代码的免杀策略 源代码, 讨论

richy

[讨论]关于源代码的免杀策略
最近写代码写的晕头转向，前不久自己的后门因为被杀导致两台非常重要的商业肉鸡飞了，突然意识到飘絮远控免杀的重要性，今天找到《基于VC源代码的免杀策略》的作者s7lx，找他征求这篇文章的截图，供己学习，结果遭到拒绝，并要求用飘絮的源码交换，于是我放弃了这个念头，回到EST再次请教大大们提供好的免杀策略。

    上个关于内网入侵的问题已经被‘独孤依人’完美的解决了。得到所有的内网权限。

关于源码免杀，我所知道的增加nop，修改工程名 函数名 资源名，希望对此有所了解的朋友畅所欲言。

摩托车

楼主中过马吗?知道现在放马的都是什么德性吗?阿尔卑斯与八宝糖还有冷苹果
帖子66 精华0 积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 赚更多的钱

e.viloctal
晶莹剔透§烈日灼然

SJPP

呵呵`，看下热闹~~~~~~~~~~~~~~~~~~~~~~

                   免杀有那么麻烦么?   ~~~~~~~~~~~~~~~~~~~~~~~~~~我欲向善而羞涩,我欲从恶而胆怯!
帖子4 精华0 积分7 阅读权限40 性别男 在线时间2 小时 注册时间2008-6-18 最后登录2008-6-27 查看详细资料引用 报告 回复 TOP 少女暴富的隐秘（图）

黑鱼儿
晶莹剔透§烈日灼然

qpqlqm6

我试过将部分函数inline ,修改if顺序，switch顺序…………反正瞎搞……
帖子9 精华0 积分7 阅读权限40 在线时间13 小时 注册时间2008-5-31 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

洋洋洒洒
荣誉会员

易水寒

shellcode
凑字阿尔卑斯与八宝糖还有冷苹果
帖子66 精华0 积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

hackbear
晶莹剔透§烈日灼然

珉头

无导入表，加几个反高启发处理
很多杀毒都是跟下PE结构，所以nop的时代已经过去了
看韬弟以前的代码都是加垃圾代码过杀毒，2004.以前可以，2005以后就越来越不现实了
我用delphi，被nod32定了ntdll的调用，索性用动态加载的方式重新写了winsvc.pas，以后杀哪个单元我就重新写哪个单元，直到最后IAT里它没东西可定
shellcode比较麻烦，代码少容易，代码多了。。。就晕了
帖子5 精华0 积分12 阅读权限40 在线时间2 小时 注册时间2005-10-25 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

7个b
晶莹剔透§烈日灼然

马可波罗

加汇编和调整单元文件的次序,这方法对卡巴比较有效.
对付其他杀软都比较容易,而NOD32确实很难处理.
帖子35 精华0 积分128 阅读权限40 在线时间18 小时 注册时间2007-9-24 最后登录2008-7-6 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

hackbear
晶莹剔透§烈日灼然

skylongo

NOD32最干净利索的处理就是从导入表中把它定位的函数消灭掉
所以我才重写单元
帖子5 精华0 积分12 阅读权限40 在线时间2 小时 注册时间2005-10-25 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

S-COOL
晶莹剔透§烈日灼然

周星星

引用:
原帖由 hackbear 于 2008-6-25 00:02 发表
无导入表，加几个反高启发处理
很多杀毒都是跟下PE结构，所以nop的时代已经过去了
看韬弟以前的代码都是加垃圾代码过杀毒，2004.以前可以，2005以后就越来越不现实了
我用delphi，被nod32定了ntdll的调用，索性用动态加载的方式 ...
老熊不愧是自己写远控的，呵呵。。学习了。。
帖子3 精华0 积分13 阅读权限40 在线时间20 小时 注册时间2008-6-22 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

7个b
晶莹剔透§烈日灼然

卢彬

to:hackbear
消灭掉?是把函数调用的位置打乱吧...
  重写单元很郁闷.
麻烦老熊说说怎么重写法?
帖子35 精华0 积分128 阅读权限40 在线时间18 小时 注册时间2007-9-24 最后登录2008-7-6 查看详细资料引用 报告 回复 TOP

asm
运维管理组

6G150

在某篇帖子里，我看到LZ说要公布“飘絮”的源码，而在这个帖子里，我似乎又听到另外的声音。既然那个帖子说大话要公布代码，LZ又何必小气捏，直接用源码跟他换吧。。。。 游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn
帖子1598 精华30 积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

2ndspace
晶莹剔透§烈日灼然

sghfxp

我也在期待呢..
顺便问一下.LZ的源码是用什么语言写的??
帖子27 精华0 积分65 阅读权限40 性别男 在线时间20 小时 注册时间2006-5-1 最后登录2008-7-4 查看详细资料引用 报告 回复 TOP

2ndspace
晶莹剔透§烈日灼然

李寻欢

记得那时候做灰鸽子免杀...可是花了很多功夫呀..
果然不付我....一年内免杀成功.

P.S. 还是劝LZ多做几个后门!!!
帖子27 精华0 积分65 阅读权限40 性别男 在线时间20 小时 注册时间2006-5-1 最后登录2008-7-4 查看详细资料引用 报告 回复 TOP

int21
晶莹剔透§烈日灼然

1606

加点垃圾循环,耗它几秒钟CPU
帖子2 精华0 积分4 阅读权限40 在线时间1 小时 注册时间2005-7-19 最后登录2008-7-4 查看详细资料引用 报告 回复 TOP

letwuwu
晶莹剔透§烈日灼然

小兵张噶

你可以到这个网站的论坛看看
我没有做过免杀，不过我看到这个网站聚集了一些人，你可以在里面问问，可能可以帮你解决。


ps:http://www.cnad110.com
帖子1 精华0 积分1 阅读权限40 在线时间1 小时 注册时间2008-7-8 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

heiye88
晶莹剔透§烈日灼然

win

其实加注释就可以了。鸟大了,什么林子都飞.
帖子12 精华0 积分25 阅读权限40 性别男 来自南方 在线时间6 小时 注册时间2008-4-6 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

cnad110
晶莹剔透§烈日灼然

好牙烟

上个关于内网入侵的问题已经被‘独孤依人’完美的解决了。得到所有的内网权限。
哥们能否具体说说解决过程和方法呢。。大家也学习一下。
帖子64 精华0 积分239 阅读权限40 在线时间124 小时 注册时间2007-1-25 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

lxl0528
晶莹剔透§烈日灼然