标题:
[讨论]下载者的讨论
[打印本页]
作者:
虚竹
时间:
2008-7-20 23:24
标题:
[讨论]下载者的讨论
[讨论]下载者的讨论
议题作者:softbug [E.S.T]
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com
)
构造普通的下载者代码。Delphi生成出来15K,北斗压缩后10K.
NOd32仿佛专杀URLDownloadToFile函数
URLDownloadToFile一般只用于IE中,于是想到:
1.如果注入IE再用此函数能否不被杀?
2.如何用其他的函数取代URLDownloadToFile?(winsock?)论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华
14
积分6821 阅读权限200 性别男 在线时间96 小时 注册时间2005-1-7 最后登录2008-7-17
查看个人网站
查看详细资料
引用
报告
回复
TOP
良辰择日,预测咨询,公司改名,权威易经
softbug
技术核心组
作者:
狼来了
时间:
2008-7-20 23:24
2.如何用其他的函数取代URLDownloadToFile?(winsock?)
这点已经用winsock实现了,代码大了3K! 呵呵 还算过的去论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华
14
积分6821 阅读权限200 性别男 在线时间96 小时 注册时间2005-1-7 最后登录2008-7-17
查看个人网站
查看详细资料
引用
报告
回复
TOP
赚更多的钱
softbug
技术核心组
作者:
Ange细
时间:
2008-7-20 23:24
1.如果注入IE再用此函数能否不被杀?
1)需要2个文件,不太方便
2)带资源的方式,容易被杀
所以我采用第二种论坛地址: http://www.ssk2.cn & www.iisuser.com
帖子287 精华
14
积分6821 阅读权限200 性别男 在线时间96 小时 注册时间2005-1-7 最后登录2008-7-17
查看个人网站
查看详细资料
引用
报告
回复
TOP
爱要怎么说出口
asm
运维管理组
作者:
大强
时间:
2008-7-20 23:24
最近偶刚写了一个,5k,穿墙,免杀..
自己构件一个URLDownloadToFileA
反汇编urlmon.dll,把里面的代码提取出来,重新构造一个URLDownloadToSaveFileA:
.text:75CBB12F URLDownloadToFileA proc near
.text:75CBB12F mov edi, edi
.text:75CBB131 push ebp
.text:75CBB132 mov ebp, esp
.text:75CBB134 sub esp, 110h
.text:75CBB13A mov eax, dword_75CD30F8
.text:75CBB13F push ebx
.text:75CBB140 mov ebx, [ebp+10h]
.text:75CBB143 mov [ebp-4], eax
.text:75CBB146 mov eax, [ebp+8]
.text:75CBB149 push esi
.text:75CBB14A mov esi, [ebp+0Ch]
.text:75CBB14D push edi
.text:75CBB14E mov edi, ds:lstrlenA
.text:75CBB154 mov [ebp-10Ch], eax
.text:75CBB15A mov eax, [ebp+18h]
.text:75CBB15D push esi
.text:75CBB15E mov [ebp-110h], eax
.text:75CBB164 call edi ; lstrlenA
.text:75CBB166 lea eax, [eax+eax+2]
.text:75CBB16A push eax
.text:75CBB16B lea ecx, [ebp-104h]
.text:75CBB171 mov [ebp-108h], eax
.text:75CBB177 call loc_75CB9CB2
.text:75CBB177
.text:75CBB17C xor eax, eax
.text:75CBB17E cmp [ebp-104h], eax
.text:75CBB184 jnz short loc_75CBB190
.text:75CBB184
.text:75CBB186 mov esi, 8007000Eh
.text:75CBB18B jmp loc_75CBB214
.text:75CBB18B
.text:75CBB190 ; ---------------------------------------------------------------------------
.text:75CBB190
.text:75CBB190 loc_75CBB190: ; CODE XREF: URLDownloadToFileA+55j
.text:75CBB190 push dword ptr [ebp-108h]
.text:75CBB196 push dword ptr [ebp-104h]
.text:75CBB19C push 0FFFFFFFFh
.text:75CBB19E push esi
.text:75CBB19F mov esi, ds:MultiByteToWideChar
.text:75CBB1A5 push eax
.text:75CBB1A6 push eax
.text:75CBB1A7 call esi ; MultiByteToWideChar
.text:75CBB1A9 mov eax, [ebp-104h]
.text:75CBB1AF push ebx
.text:75CBB1B0 mov [ebp-108h], eax
.text:75CBB1B6 call edi ; lstrlenA
.text:75CBB1B8 lea edi, [eax+eax+2]
.text:75CBB1BC push edi
.text:75CBB1BD lea ecx, [ebp-84h]
.text:75CBB1C3 call loc_75CB9CB2
.text:75CBB1C3
.text:75CBB1C8 xor eax, eax
.text:75CBB1CA cmp [ebp-84h], eax
.text:75CBB1D0 jnz short loc_75CBB1D9
.text:75CBB1D0
.text:75CBB1D2 mov esi, 8007000Eh
.text:75CBB1D7 jmp short loc_75CBB209
.text:75CBB1D7
.text:75CBB1D9 ; ---------------------------------------------------------------------------
.text:75CBB1D9
.text:75CBB1D9 loc_75CBB1D9: ; CODE XREF: URLDownloadToFileA+A1j
.text:75CBB1D9 push edi
.text:75CBB1DA push dword ptr [ebp-84h]
.text:75CBB1E0 push 0FFFFFFFFh
.text:75CBB1E2 push ebx
.text:75CBB1E3 push eax
.text:75CBB1E4 push eax
.text:75CBB1E5 call esi
.text:75CBB1E7 push dword ptr [ebp-110h]
.text:75CBB1ED push dword ptr [ebp+14h]
.text:75CBB1F0 push dword ptr [ebp-84h]
.text:75CBB1F6 push dword ptr [ebp-108h]
.text:75CBB1FC push dword ptr [ebp-10Ch]
.text:75CBB202 call URLDownloadToFileW
.text:75CBB202
.text:75CBB207 mov esi, eax
.text:75CBB207
.text:75CBB209
.text:75CBB209 loc_75CBB209: ; CODE XREF: URLDownloadToFileA+A8j
.text:75CBB209 lea ecx, [ebp-84h]
.text:75CBB20F call loc_75CB9D06
.text:75CBB20F
.text:75CBB214
.text:75CBB214 loc_75CBB214: ; CODE XREF: URLDownloadToFileA+5Cj
.text:75CBB214 lea ecx, [ebp-104h]
.text:75CBB21A call loc_75CB9D06
.text:75CBB21A
.text:75CBB21F mov ecx, [ebp-4]
.text:75CBB222 pop edi
.text:75CBB223 mov eax, esi
.text:75CBB225 pop esi
.text:75CBB226 pop ebx
.text:75CBB227 call sub_75C61670
.text:75CBB227
.text:75CBB22C leave
.text:75CBB22D retn 14h
.text:75CBB22D
.text:75CBB22D URLDownloadToFileA endp ; sp = 34h游戏吧 http://www.game8.cc/MyBlog http://www.asm32.cn
帖子1598 精华
30
积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20
查看详细资料
引用
报告
回复
TOP
1种痛
晶莹剔透§烈日灼然
作者:
小雨NEIL
时间:
2008-7-20 23:24
对于注入IE 这个我做实验了 还是会被杀.
特征很明显.
可以换一种方法试试.
帖子7 精华
0
积分24 阅读权限40 性别男 来自华夏黑客联盟 在线时间24 小时 注册时间2007-9-28 最后登录2007-12-20
查看详细资料
引用
报告
回复
TOP
少女暴富的隐秘(图)
asm
运维管理组
作者:
binfengbin
时间:
2008-7-20 23:24
引用:
引用第5楼1种痛于2007-11-21 12:30发表的 :
对于注入IE 这个我做实验了 还是会被杀.
特征很明显.
可以换一种方法试试.
问题的关键不是注入IE被杀,而是你用什么办法注入..
游戏吧 http://www.game8.cc/MyBlog http://www.asm32.cn
帖子1598 精华
30
积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
heiye88
晶莹剔透§烈日灼然
作者:
獨特感覺
时间:
2008-7-20 23:24
asm开源看看你那个5K
帖子64 精华
0
积分239 阅读权限40 在线时间124 小时 注册时间2007-1-25 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
52piaoyu
晶莹剔透§烈日灼然
作者:
嘉明
时间:
2008-7-20 23:24
这样的过不了主动
不过你可以考虑用下wininet这个函数试试
帖子4 精华
0
积分14 阅读权限40 性别男 在线时间12 小时 注册时间2006-9-10 最后登录2008-5-25
查看详细资料
引用
报告
回复
TOP
husheng34
荣誉会员
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2