标题:
[讨论]关于源代码的免杀策略
[打印本页]
作者:
richy
时间:
2008-7-22 09:50
标题:
[讨论]关于源代码的免杀策略
[讨论]关于源代码的免杀策略
最近写代码写的晕头转向,前不久自己的后门因为被杀导致两台非常重要的商业肉鸡飞了,突然意识到飘絮远控免杀的重要性,今天找到《基于VC源代码的免杀策略》的作者s7lx,找他征求这篇文章的截图,供己学习,结果遭到拒绝,并要求用飘絮的源码交换,于是我放弃了这个念头,回到EST再次请教大大们提供好的免杀策略。
上个关于内网入侵的问题已经被‘独孤依人’完美的解决了。得到所有的内网权限。
关于源码免杀,我所知道的增加nop,修改工程名 函数名 资源名,希望对此有所了解的朋友畅所欲言。
作者:
摩托车
时间:
2008-7-22 09:50
楼主中过马吗?知道现在放马的都是什么德性吗?阿尔卑斯与八宝糖还有冷苹果
帖子66 精华
0
积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
赚更多的钱
e.viloctal
晶莹剔透§烈日灼然
作者:
SJPP
时间:
2008-7-22 09:50
呵呵`,看下热闹~~~~~~~~~~~~~~~~~~~~~~
免杀有那么麻烦么? ~~~~~~~~~~~~~~~~~~~~~~~~~~我欲向善而羞涩,我欲从恶而胆怯!
帖子4 精华
0
积分7 阅读权限40 性别男 在线时间2 小时 注册时间2008-6-18 最后登录2008-6-27
查看详细资料
引用
报告
回复
TOP
少女暴富的隐秘(图)
黑鱼儿
晶莹剔透§烈日灼然
作者:
qpqlqm6
时间:
2008-7-22 09:50
我试过将部分函数inline ,修改if顺序,switch顺序…………反正瞎搞……
帖子9 精华
0
积分7 阅读权限40 在线时间13 小时 注册时间2008-5-31 最后登录2008-7-20
查看详细资料
引用
报告
回复
TOP
洋洋洒洒
荣誉会员
作者:
易水寒
时间:
2008-7-22 09:50
shellcode
凑字阿尔卑斯与八宝糖还有冷苹果
帖子66 精华
0
积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
hackbear
晶莹剔透§烈日灼然
作者:
珉头
时间:
2008-7-22 09:50
无导入表,加几个反高启发处理
很多杀毒都是跟下PE结构,所以nop的时代已经过去了
看韬弟以前的代码都是加垃圾代码过杀毒,2004.以前可以,2005以后就越来越不现实了
我用delphi,被nod32定了ntdll的调用,索性用动态加载的方式重新写了winsvc.pas,以后杀哪个单元我就重新写哪个单元,直到最后IAT里它没东西可定
shellcode比较麻烦,代码少容易,代码多了。。。就晕了
帖子5 精华
0
积分12 阅读权限40 在线时间2 小时 注册时间2005-10-25 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
7个b
晶莹剔透§烈日灼然
作者:
马可波罗
时间:
2008-7-22 09:50
加汇编和调整单元文件的次序,这方法对卡巴比较有效.
对付其他杀软都比较容易,而NOD32确实很难处理.
帖子35 精华
0
积分128 阅读权限40 在线时间18 小时 注册时间2007-9-24 最后登录2008-7-6
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
hackbear
晶莹剔透§烈日灼然
作者:
skylongo
时间:
2008-7-22 09:50
NOD32最干净利索的处理就是从导入表中把它定位的函数消灭掉
所以我才重写单元
帖子5 精华
0
积分12 阅读权限40 在线时间2 小时 注册时间2005-10-25 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
S-COOL
晶莹剔透§烈日灼然
作者:
周星星
时间:
2008-7-22 09:50
引用:
原帖由 hackbear 于 2008-6-25 00:02 发表
无导入表,加几个反高启发处理
很多杀毒都是跟下PE结构,所以nop的时代已经过去了
看韬弟以前的代码都是加垃圾代码过杀毒,2004.以前可以,2005以后就越来越不现实了
我用delphi,被nod32定了ntdll的调用,索性用动态加载的方式 ...
老熊不愧是自己写远控的,呵呵。。学习了。。
帖子3 精华
0
积分13 阅读权限40 在线时间20 小时 注册时间2008-6-22 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
7个b
晶莹剔透§烈日灼然
作者:
卢彬
时间:
2008-7-22 09:50
to:hackbear
消灭掉?是把函数调用的位置打乱吧...
重写单元很郁闷.
麻烦老熊说说怎么重写法?
帖子35 精华
0
积分128 阅读权限40 在线时间18 小时 注册时间2007-9-24 最后登录2008-7-6
查看详细资料
引用
报告
回复
TOP
asm
运维管理组
作者:
6G150
时间:
2008-7-22 09:50
在某篇帖子里,我看到LZ说要公布“飘絮”的源码,而在这个帖子里,我似乎又听到另外的声音。既然那个帖子说大话要公布代码,LZ又何必小气捏,直接用源码跟他换吧。。。。
游戏吧 http://www.game8.cc/MyBlog http://www.asm32.cn
帖子1598 精华
30
积分8742 阅读权限150 性别男 在线时间954 小时 注册时间2006-9-21 最后登录2008-7-20
查看详细资料
引用
报告
回复
TOP
2ndspace
晶莹剔透§烈日灼然
作者:
sghfxp
时间:
2008-7-22 09:50
我也在期待呢..
顺便问一下.LZ的源码是用什么语言写的??
帖子27 精华
0
积分65 阅读权限40 性别男 在线时间20 小时 注册时间2006-5-1 最后登录2008-7-4
查看详细资料
引用
报告
回复
TOP
2ndspace
晶莹剔透§烈日灼然
作者:
李寻欢
时间:
2008-7-22 09:50
记得那时候做灰鸽子免杀...可是花了很多功夫呀..
果然不付我....一年内免杀成功.
P.S. 还是劝LZ多做几个后门!!!
帖子27 精华
0
积分65 阅读权限40 性别男 在线时间20 小时 注册时间2006-5-1 最后登录2008-7-4
查看详细资料
引用
报告
回复
TOP
int21
晶莹剔透§烈日灼然
作者:
1606
时间:
2008-7-22 09:50
加点垃圾循环,耗它几秒钟CPU
帖子2 精华
0
积分4 阅读权限40 在线时间1 小时 注册时间2005-7-19 最后登录2008-7-4
查看详细资料
引用
报告
回复
TOP
letwuwu
晶莹剔透§烈日灼然
作者:
小兵张噶
时间:
2008-7-22 09:50
你可以到这个网站的论坛看看
我没有做过免杀,不过我看到这个网站聚集了一些人,你可以在里面问问,可能可以帮你解决。
ps:
http://www.cnad110.com
帖子1 精华
0
积分1 阅读权限40 在线时间1 小时 注册时间2008-7-8 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
heiye88
晶莹剔透§烈日灼然
作者:
win
时间:
2008-7-22 09:50
其实加注释就可以了。鸟大了,什么林子都飞.
帖子12 精华
0
积分25 阅读权限40 性别男 来自南方 在线时间6 小时 注册时间2008-4-6 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
cnad110
晶莹剔透§烈日灼然
作者:
好牙烟
时间:
2008-7-22 09:50
上个关于内网入侵的问题已经被‘独孤依人’完美的解决了。得到所有的内网权限。
哥们能否具体说说解决过程和方法呢。。大家也学习一下。
帖子64 精华
0
积分239 阅读权限40 在线时间124 小时 注册时间2007-1-25 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
lxl0528
晶莹剔透§烈日灼然
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2