Board logo

标题: [讨论]下载者的讨论 [打印本页]

作者: 虚竹    时间: 2008-7-20 23:24     标题: [讨论]下载者的讨论

[讨论]下载者的讨论
议题作者:softbug [E.S.T]
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

构造普通的下载者代码。Delphi生成出来15K,北斗压缩后10K.

NOd32仿佛专杀URLDownloadToFile函数


URLDownloadToFile一般只用于IE中,于是想到:
1.如果注入IE再用此函数能否不被杀?
2.如何用其他的函数取代URLDownloadToFile?(winsock?)论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华14 积分6821 阅读权限200 性别男 在线时间96 小时 注册时间2005-1-7 最后登录2008-7-17 查看个人网站
查看详细资料引用 报告 回复 TOP 良辰择日,预测咨询,公司改名,权威易经


softbug
技术核心组

作者: 狼来了    时间: 2008-7-20 23:24

2.如何用其他的函数取代URLDownloadToFile?(winsock?)

这点已经用winsock实现了,代码大了3K! 呵呵 还算过的去论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华14 积分6821 阅读权限200 性别男 在线时间96 小时 注册时间2005-1-7 最后登录2008-7-17 查看个人网站
查看详细资料引用 报告 回复 TOP 赚更多的钱

softbug
技术核心组

作者: Ange细    时间: 2008-7-20 23:24

1.如果注入IE再用此函数能否不被杀?


1)需要2个文件,不太方便
2)带资源的方式,容易被杀

所以我采用第二种论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华14 积分6821 阅读权限200 性别男 在线时间96 小时 注册时间2005-1-7 最后登录2008-7-17 查看个人网站
查看详细资料引用 报告 回复 TOP 爱要怎么说出口

asm
运维管理组

作者: 大强    时间: 2008-7-20 23:24

最近偶刚写了一个,5k,穿墙,免杀..

自己构件一个URLDownloadToFileA

反汇编urlmon.dll,把里面的代码提取出来,重新构造一个URLDownloadToSaveFileA:

.text:75CBB12F URLDownloadToFileA proc near
.text:75CBB12F         mov   edi, edi
.text:75CBB131         push  ebp
.text:75CBB132         mov   ebp, esp
.text:75CBB134         sub   esp, 110h
.text:75CBB13A         mov   eax, dword_75CD30F8
.text:75CBB13F         push  ebx
.text:75CBB140         mov   ebx, [ebp+10h]
.text:75CBB143         mov   [ebp-4], eax
.text:75CBB146         mov   eax, [ebp+8]
.text:75CBB149         push  esi
.text:75CBB14A         mov   esi, [ebp+0Ch]
.text:75CBB14D         push  edi
.text:75CBB14E         mov   edi, ds:lstrlenA
.text:75CBB154         mov   [ebp-10Ch], eax
.text:75CBB15A         mov   eax, [ebp+18h]
.text:75CBB15D         push  esi
.text:75CBB15E         mov   [ebp-110h], eax
.text:75CBB164         call  edi ; lstrlenA
.text:75CBB166         lea   eax, [eax+eax+2]
.text:75CBB16A         push  eax
.text:75CBB16B         lea   ecx, [ebp-104h]
.text:75CBB171         mov   [ebp-108h], eax
.text:75CBB177         call  loc_75CB9CB2
.text:75CBB177
.text:75CBB17C         xor   eax, eax
.text:75CBB17E         cmp   [ebp-104h], eax
.text:75CBB184         jnz   short loc_75CBB190
.text:75CBB184
.text:75CBB186         mov   esi, 8007000Eh
.text:75CBB18B         jmp   loc_75CBB214
.text:75CBB18B
.text:75CBB190 ; ---------------------------------------------------------------------------
.text:75CBB190
.text:75CBB190 loc_75CBB190:              ; CODE XREF: URLDownloadToFileA+55j
.text:75CBB190         push  dword ptr [ebp-108h]
.text:75CBB196         push  dword ptr [ebp-104h]
.text:75CBB19C         push  0FFFFFFFFh
.text:75CBB19E         push  esi
.text:75CBB19F         mov   esi, ds:MultiByteToWideChar
.text:75CBB1A5         push  eax
.text:75CBB1A6         push  eax
.text:75CBB1A7         call  esi ; MultiByteToWideChar
.text:75CBB1A9         mov   eax, [ebp-104h]
.text:75CBB1AF         push  ebx
.text:75CBB1B0         mov   [ebp-108h], eax
.text:75CBB1B6         call  edi ; lstrlenA
.text:75CBB1B8         lea   edi, [eax+eax+2]
.text:75CBB1BC         push  edi
.text:75CBB1BD         lea   ecx, [ebp-84h]
.text:75CBB1C3         call  loc_75CB9CB2
.text:75CBB1C3
.text:75CBB1C8         xor   eax, eax
.text:75CBB1CA         cmp   [ebp-84h], eax
.text:75CBB1D0         jnz   short loc_75CBB1D9
.text:75CBB1D0
.text:75CBB1D2         mov   esi, 8007000Eh
.text:75CBB1D7         jmp   short loc_75CBB209
.text:75CBB1D7
.text:75CBB1D9 ; ---------------------------------------------------------------------------
.text:75CBB1D9
.text:75CBB1D9 loc_75CBB1D9:              ; CODE XREF: URLDownloadToFileA+A1j
.text:75CBB1D9         push  edi
.text:75CBB1DA         push  dword ptr [ebp-84h]
.text:75CBB1E0         push  0FFFFFFFFh
.text:75CBB1E2         push  ebx
.text:75CBB1E3         push  eax
.text:75CBB1E4         push  eax
.text:75CBB1E5         call  esi
.text:75CBB1E7         push  dword ptr [ebp-110h]
.text:75CBB1ED         push  dword ptr [ebp+14h]
.text:75CBB1F0         push  dword ptr [ebp-84h]
.text:75CBB1F6         push  dword ptr [ebp-108h]
.text:75CBB1FC         push  dword ptr [ebp-10Ch]
.text:75CBB202         call  URLDownloadToFileW
.text:75CBB202
.text:75CBB207         mov   esi, eax
.text:75CBB207
.text:75CBB209
.text:75CBB209 loc_75CBB209:              ; CODE XREF: URLDownloadToFileA+A8j
.text:75CBB209         lea   ecx, [ebp-84h]
.text:75CBB20F         call  loc_75CB9D06
.text:75CBB20F
.text:75CBB214
.text:75CBB214 loc_75CBB214:              ; CODE XREF: URLDownloadToFileA+5Cj
.text:75CBB214         lea   ecx, [ebp-104h]
.text:75CBB21A         call  loc_75CB9D06
.text:75CBB21A
.text:75CBB21F         mov   ecx, [ebp-4]
.text:75CBB222         pop   edi
.text:75CBB223         mov   eax, esi
.text:75CBB225         pop   esi
.text:75CBB226         pop   ebx
.text:75CBB227         call  sub_75C61670
.text:75CBB227
.text:75CBB22C         leave
.text:75CBB22D         retn  14h
.text:75CBB22D
.text:75CBB22D URLDownloadToFileA endp ; sp = 34h游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn
帖子1598 精华30 积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

1种痛
晶莹剔透§烈日灼然
作者: 小雨NEIL    时间: 2008-7-20 23:24

对于注入IE 这个我做实验了 还是会被杀.
特征很明显.
可以换一种方法试试.
帖子7 精华0 积分24 阅读权限40 性别男 来自华夏黑客联盟 在线时间24 小时 注册时间2007-9-28 最后登录2007-12-20 查看详细资料引用 报告 回复 TOP 少女暴富的隐秘(图)

asm
运维管理组

作者: binfengbin    时间: 2008-7-20 23:24

引用:
引用第5楼1种痛于2007-11-21 12:30发表的 :
对于注入IE 这个我做实验了 还是会被杀.
特征很明显.
可以换一种方法试试.
问题的关键不是注入IE被杀,而是你用什么办法注入..游戏吧  http://www.game8.cc/MyBlog    http://www.asm32.cn
帖子1598 精华30 积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

heiye88
晶莹剔透§烈日灼然
作者: 獨特感覺    时间: 2008-7-20 23:24

asm开源看看你那个5K
帖子64 精华0 积分239 阅读权限40 在线时间124 小时 注册时间2007-1-25 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

52piaoyu
晶莹剔透§烈日灼然
作者: 嘉明    时间: 2008-7-20 23:24

这样的过不了主动
不过你可以考虑用下wininet这个函数试试
帖子4 精华0 积分14 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-5-25 查看详细资料引用 报告 回复 TOP

husheng34
荣誉会员





欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2