首页
社区
课程
招聘
[原创]几种少见的PE感染方式.
发表于: 2010-1-2 12:25 13483

[原创]几种少见的PE感染方式.

2010-1-2 12:25
13483

祝看雪的各位新年快乐!

第一种
将代码(Shellcode)分散到多个文件.
比如感染QQ, 可以选择QQ.exe和N个QQ.exe自带的Dll文件.
假设这里选择QQ.exe IM.dll QQZip.dll
主要代码插入IM.dll 和 QQZip.dll, Load代码插入QQ.exe
Load代码只需要找到代码所在的两个DLL的位置 然后跳转过去就OK了.

优点 比感染单个文件更难查杀(对于启发式来说),难清除(?),不用像单个文件一样太注意Shellcode的大小(在不增加文件大小的情况下).
缺点 相对麻烦,稳定性没单个文件好.

第二种
属于EAT HOOK. 但是比传统的EAT HOOK难发现.
只需要一句 你们就能明白.


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (16)
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
2
1.只要改写QQ和迅雷的文件就报警,管你怎么感染。
2.都没样本和代码意淫个什么劲杀毒软件
2010-1-2 12:32
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
3
MJ快1000帖了~
2010-1-2 15:04
0
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
4
TEST 看看自己多少贴。。
2010-1-2 17:26
0
雪    币: 394
活跃值: (131)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
5
我在自己的电脑上做过在QQ上装个后门的试验,是这样的:QQ.EXE调用自身目录下的Common.dll动态库,我选择Common.dll的输出表函数?NotifyIdle@TXTimer@@YAXXZ,给它另外加个下载者的汇编代码,这样用户只要打开QQ,在出现登陆画面时,就会运行我的下载者的代码,为了防止多次调用这个函数造成重复下载,给它加了个开关,只下载一次。虽然破坏了Common.dll的数字签名,但是改装后的Common.dll这个文件瑞星和NOD32不会查杀。第二种方式不大理解。
2010-1-2 22:58
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
意淫,,,,
2010-1-3 16:02
0
雪    币: 393
活跃值: (100)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
7
@ Vxer
不懂不要乱说话。

@ qihoocom
无聊。自己下载附件看。
你们有自己的查毒引擎吗?
你查毒引擎有查这种方式吗?
别说主动防御 那东西更废。
上传的附件:
2010-9-24 21:31
0
雪    币: 242
活跃值: (473)
能力值: ( LV11,RANK:188 )
在线值:
发帖
回帖
粉丝
8
thsthsths.. 收藏usp10
2010-9-25 00:28
0
雪    币: 142
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
这贴又出来了
其实楼主说的方法已经出现很久了,特别是第一种,稍微有点不一样,至少我是在05年就看到过相关工具了,叫robinpe还是什么的,专门有篇文章,好像叫见缝插针伪造木马
第二种么,在xp下有效,vista以上估计不好用了
2010-9-25 22:51
0
雪    币: 27
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
没有标题吸引人嘛。
2010-9-26 11:43
0
雪    币: 308
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
强悍。。。。
当我安装360后,有时候用搜狗拼音输入法怎么点键盘上的按键都点不出来。。这个出现的概率可是说是经常性的。。
2010-9-26 13:14
0
雪    币: 393
活跃值: (100)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
12
麻烦看明白了再发表你的高见。
你二种你以为是什么?只是顺手拿个usp10示范,跟你以为的KnownDlls没有半毛钱关系。还扯上vista了。
2010-9-26 13:29
0
雪    币: 1450
活跃值: (35)
能力值: (RANK:680 )
在线值:
发帖
回帖
粉丝
13
第一种方法对于解决感染目标体空间不足确实是个不错的idea(当然前提是,就像MJ所说需要能修改文件并不被发现)
第二种方法就没什么心意了,海风很早就发过pdf,而且在XP的某个补丁之后就不起作用了。

顶一下共享精神。
2010-9-26 13:36
0
雪    币: 393
活跃值: (100)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
14
算了,我不该用usp10做范例的。
这个跟usp10和lpk等是没有关系的。是静态EAT HOOK。 或者用“EAT Hijack”更准确。
这两天我直接上代码吧。

第一个主要不是用来解决可用代码空间不足,而是用来对抗启发式查毒。现在查毒引擎对多文件查杀貌似很弱。
2010-9-26 14:17
0
雪    币: 253
活跃值: (89)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
思路很好,"二元病毒"?
2010-9-27 08:17
0
雪    币: 242
活跃值: (473)
能力值: ( LV11,RANK:188 )
在线值:
发帖
回帖
粉丝
16
支持LZ继续爆料  :P...

关于第二个,其实有一个样本挺多的实际应用的例子:
system32/lpmidimap.dll
2010-9-27 13:10
0
雪    币: 563
活跃值: (95)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
不错试试看
2010-10-1 11:27
0
游客
登录 | 注册 方可回帖
返回
//