不可防之木马

smiledog 2000-09-08 03:39:00
基于特征值检查的防病毒软件,是不可能探测木马的,虽然大多数杀毒软件做得很好,例如首屈一指的NAV和KILL。只要对木马文件作点手脚,比如用WIN32的EXE压缩软件ASPACK压缩后,谁也测不出!看来,网络防火墙还是挺有用的!
...全文
513 20 打赏 收藏 转发到动态 举报
写回复
用AI写文章
20 条回复
切换为时间正序
请发表友善的回复…
发表回复
qinzm 2001-03-05
  • 打赏
  • 举报
回复

我的目的是练练手
qinzm 2001-03-05
  • 打赏
  • 举报
回复
wingerk对木马真有研究啊
我最近准备写一个木马病毒
想用asm写
放弃传统一个进程的方式
写成dll方式
然后通过把该dll在其它进程里面运行的方法来运行
dll内部的特征码是随机组合起来的
夭夭 2001-03-05
  • 打赏
  • 举报
回复
我也要做一个木马,。觉得最难的是怎么隐了,。。
每次作进程一看,就知道了。
wingerK 2001-03-05
  • 打赏
  • 举报
回复
研究就好了,可不要传播出去
对了,我记得以前看什么病毒历史文章时,提到一个唯一有益的病毒,不记得有益在什么地方了,不过,综观病毒发展史,没有出现什么有益的病毒,可以知道作好事有多难,最多有一些是玩乐性质没有什么危害的病毒
我希望你作的这个木马病毒如果想让它流传出去(不管你是为了什么),建议发作形式是有益的,比如过滤黄色内容,不让浏览黄色站点。或则,不做有害的,随机出点笑话娱乐大众就好了,还有就是杀毒机器,呵呵,杀别的病毒、木马……
说不上对木马的研究,有过兴趣,所以关注的多,看的东西多一些
还有,如果你研究的透,可以考虑感染DLL(不记得有没有人研究过DLL是否可以感染了)
还有,研究木马透了,可以考虑转变成做防木马查木马的程序,会给你带来更多实际利益
wingerK 2001-03-04
  • 打赏
  • 举报
回复
呵呵,我不熟C,也对WINDOWS了解不深,只是会用DELPHI这样的快速开发工具
这段程序吗,可以查MSDN、WINAPIHELP知道什么意思,现在用别人的机器,没有办法查出来
我试着胡扯,错了不要见怪
首先得到当前程序的HANDLE
然后通过查出路径、文件名
我不知道HANDLE(4)是什么,是不是关闭自己?
然后关闭后删除本身文件(前面看开发文章里有这么一篇文章,没有细看,有这个意思)

其实我说木马简单是指作一个木马简单
但是作一个功能强、高级……(一堆好话)的木马狠困难
用DELPHI就可以让很多人狠轻松的实现一个有基本功能的木马,不管他完不完善,而且危害性也可以作得狠高,毕竟机器在他控制下,来个DEL *。*还是狠简单的。
死命啃别人木马程序然后改装一个没有什么意思,如果自己能够思考出一个更绝,还没有人防范的控制和传播途径才厉害

以前,我在21CN那家公司作不是网站方面东西时,21CN要搞什么来MAIL即时手机CALL机通知这个服务,我说了一句,我可以给你的EMAIL发炸弹,炸死你的手机CALL机,结果给同事漏给头,头头们吓了一大跳,忙开紧急会议商讨对策,最后用了个每天定时告诉你有几封新邮件这个破烂功能来对付。
其实,很多东西还是盲点,大家没有注意到而已,你能想到利用这些盲点,你就狠厉害了,如果提前通知大家防范,就更厉害了,害人的人大家是不会感激的,帮人的人才会得到大家的尊重。
对于忙于编木马的朋友,我想劝你们不要让你的木马流传出去,免得害了大家,还给别人创造了商机(除非自己也有商业目的)
当然,我不会反对大家研究木马,任何事有利也有弊,研究木马技术不是坏事,但是用来害自己人就不是什么好事了
qinzm 2001-03-03
  • 打赏
  • 举报
回复
采用指令自动生成技术
每传染一次内部结构就变一次
这样就很难查到

说木马简单的看看能不能把下面的代码的执行原理说说?
HMODULE module = GetModuleHandle(0);
CHAR buf[MAX_PATH];
GetModuleFileName(module, buf, sizeof buf);
CloseHandle(HANDLE(4));
__asm {
lea eax, buf
push 0
push 0
push eax
push ExitProcess
push module
push DeleteFile
push UnmapViewOfFile
ret
如果不能说就免了,也不要抄别人的话
wingerK 2001-03-02
  • 打赏
  • 举报
回复
通过SMTP和POP3传递指令和结果,实现起来不难,我写过一个只传屏幕的,还想进一步写用指定邮箱的邮件控制行动这一部分时,忙了,也懒得作了,我怕又成一个漫天飞的木马害了善良的人们,我不想做这种给某些居心叵测的人利用的程序。
自己知道能做就行了。

对于防木马,比如说这种通过SMTP和POP3控制的木马,只要防火墙监视到有SMTP和POP3连接,而且帐号是陌生的,就可以怀疑是木马了,给个提醒用户,当然,用户可能用新帐号,所以,给个提醒是应该的,当然,检查木马的存在是一个策略问题,不同的木马有不同的行为特征,不少正常程序也会存在这些行为特征。

对于特征码查毒,的确是亡羊补牢了,我的同学,做搜毒SODU的那位老兄,已经对特征码查毒失望了,不再打算做新的版本。
willmac 2001-03-01
  • 打赏
  • 举报
回复
vbs2bin
怎么做?说话请说明白?
chifire 2001-02-23
  • 打赏
  • 举报
回复
关键要自己小心,以前中冰河时,机器里装有kill和lockdown,可是一点反应都没有。
注意操作时的异常情况,如控制不灵,鼠标异常,系统突然变慢,硬盘灯没有理由的狂闪等等。
Dale46 2001-02-07
  • 打赏
  • 举报
回复
to nieyongxin:
通过smtp和pop3来传递,的确是不可防的.
有哪位写过嘛?
crackx 2001-02-07
  • 打赏
  • 举报
回复
关注
xuii 2001-01-18
  • 打赏
  • 举报
回复
使用杀可疑进程的方法应该比较精确,要求是你对Win进程非常熟悉,
杀进程的方法吗,程序员大本营2000 上有的介绍,差一下就行了
netidol 2000-12-23
  • 打赏
  • 举报
回复
我同意PINGFONG的看法
jiujiejushi 2000-12-05
  • 打赏
  • 举报
回复
防火墙+反病毒软件应该可以对付大多数情况.
pingfong 2000-12-03
  • 打赏
  • 举报
回复
to nieyongxin:
*.exe to *.vbs 如何实现?
*.vbs还是要人执行。
最好是感染*.exe。
大家讨论.....
hu_zy 2000-11-22
  • 打赏
  • 举报
回复
sniffer也不是很难做,网卡运行在杂乱模式下时可以收听所有的本网段数据包。
唯一的办法就是用ssl了。
土豆 2000-10-14
  • 打赏
  • 举报
回复
木马要成功的首要条件是要有白痴去运行程序,至于实现嘛,我看有许多并没有什么技术可言,比如BO2000,我觉得像Sniffer之类的工具比较难做。
online2000 2000-10-01
  • 打赏
  • 举报
回复
Pc-cillin 还不错!
blueriver 2000-09-09
  • 打赏
  • 举报
回复
NAV----不要太烂!
nieyongxin 2000-09-08
  • 打赏
  • 举报
回复
杀毒软件是卖给大众用的,木马在未出名之前与正常的软件没有区别的,当然无法查出来。
不过你所说的“用WIN32的EXE压缩软件ASPACK压缩后,谁也测不出!”这句话是不正确的,
只能说,压缩后不运行是查不出来的,如何运行的话,再加上杀毒软件能够检查内存,还是可以
查出来的,更好的方法是加壳,即使加壳的话也不能叫“不可防之木马”,木马最难的是让如何对方运行,比较好的方法是用扩展名为“*。VBS”的文件代替“*。EXE”,不过木马的长度要增加一倍,因为字符"2B"比十六进制“2B”要多占一个字节,vb脚本在WIN98和WIN2000里是可以
写二进制文件的。如果木马全部通过电子邮件控制,防火墙也是无能为力的。

9,505

社区成员

发帖
与我相关
我的任务
社区描述
Windows专区 安全技术/病毒
社区管理员
  • 安全技术/病毒社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧