1,508
社区成员
发帖
与我相关
我的任务
分享木马启动的思路(过360)
(这个到底属于免杀还是属于编程,好像都不属于......)
如果您是用过RING0层的方式启动木马的大牛,那这篇文章没有必要看了,如果您是通过一些特殊方式把启动项写进注册表而最新的360也没有提示,那这篇文章也没必要看了。
这两天看了下ziyi大牛发的资料,特别是黑防的一些资料,真是受益匪浅。
一年前,我在红狼看过一个求助贴,发贴的是个系统管理员,说的是系统里好像有木马模块,但是把那个模块删掉,.net就不能用了,没有启动项,没有有服务,ACTIVE也没有,他始终不懂木马是怎么启动的,求助很多论坛也没多少人能说出具体原因,看得出来,木马作者对.NET的机制包括CLR托管都非常了解,但具体什么原因,我也不知道。
直到我看了Erez Metula大牛的.net FrameWork Rookit,才了解是怎么一回事,这篇文章详细讲述了如何突破GAC以及.net下如何实现模块的"隐藏调用",作者同时指出:这种思路适用于所有基于VM的系统,包括JVM。
这么说有点玄,简单的说,大家都接触过HOOK对吧,HOOK就是当你调用函数A时,我截获这个消息(实际上是影响导入表),使得你最后掉用了函数B,曾经有的木马是通过这种方式启动的,但是HOOK的动作太大,后来用的人就少了。
玩逆向的同学应该知道另一种方法,就是AheadLib,它可以根据DLL生成一段代码,经过修改后,生成一个中间DLL,中间DLL可以转发源程序的调用命令,并转发给原来的DLL,关键的事情是,这个中间的DLL自己能实现一些操作,看雪有人用它来为程序加启动画面,其实它也能用来加载木马的DLL,或者作为下载者,或者执行命令,这种方法估计早就有人在用了,呵呵,连.NET下的方法都出来了,.NET下这种方法最大的优点是兼容性好,通用性广,毕竟,不是所有电脑的QQ,迅雷都是开机启动的,甚至当不知情的用户发现把木马删了系统不能用了,有时还可能把它加入白名单。
对付这种方式启动最好的方法就是常规查杀,要么就是对第三方MD5校验,当然,高手还有其他方法......但这种启动方式并不依赖注册表。
如果您是用过RING0层的方式启动木马的大牛,那这篇文章没有必要看了,如果您是通过一些特殊方式把启动项写进注册表而最新的360也没有提示,那这篇文章也没必要看了。
这两天看了下ziyi大牛发的资料,特别是黑防的一些资料,真是受益匪浅。
一年前,我在红狼看过一个求助贴,发贴的是个系统管理员,说的是系统里好像有木马模块,但是把那个模块删掉,.net就不能用了,没有启动项,没有有服务,ACTIVE也没有,他始终不懂木马是怎么启动的,求助很多论坛也没多少人能说出具体原因,看得出来,木马作者对.NET的机制包括CLR托管都非常了解,但具体什么原因,我也不知道。
直到我看了Erez Metula大牛的.net FrameWork Rookit,才了解是怎么一回事,这篇文章详细讲述了如何突破GAC以及.net下如何实现模块的"隐藏调用",作者同时指出:这种思路适用于所有基于VM的系统,包括JVM。
这么说有点玄,简单的说,大家都接触过HOOK对吧,HOOK就是当你调用函数A时,我截获这个消息(实际上是影响导入表),使得你最后掉用了函数B,曾经有的木马是通过这种方式启动的,但是HOOK的动作太大,后来用的人就少了。
玩逆向的同学应该知道另一种方法,就是AheadLib,它可以根据DLL生成一段代码,经过修改后,生成一个中间DLL,中间DLL可以转发源程序的调用命令,并转发给原来的DLL,关键的事情是,这个中间的DLL自己能实现一些操作,看雪有人用它来为程序加启动画面,其实它也能用来加载木马的DLL,或者作为下载者,或者执行命令,这种方法估计早就有人在用了,呵呵,连.NET下的方法都出来了,.NET下这种方法最大的优点是兼容性好,通用性广,毕竟,不是所有电脑的QQ,迅雷都是开机启动的,甚至当不知情的用户发现把木马删了系统不能用了,有时还可能把它加入白名单。
对付这种方式启动最好的方法就是常规查杀,要么就是对第三方MD5校验,当然,高手还有其他方法......但这种启动方式并不依赖注册表。
...全文
请发表友善的回复…
发表回复
就是just4 2010-06-19
- 打赏
- 举报
"启动方式并不依赖注册表",问下楼主PE类型病毒是否依赖注册表?autorun自动播放的病毒是否依赖注册表?还有,蠕虫病毒。。。???
Roy_lee031 2010-06-19
- 打赏
- 举报
非技术区
