[原创]几种少见的PE感染方式.-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]几种少见的PE感染方式.

发表于: 2010-1-2 12:25 13368

[原创]几种少见的PE感染方式.

iiii

2010-1-2 12:25

13368

祝看雪的各位新年快乐!

第一种
将代码(Shellcode)分散到多个文件.
比如感染QQ, 可以选择QQ.exe和N个QQ.exe自带的Dll文件.
假设这里选择QQ.exe IM.dll QQZip.dll
主要代码插入IM.dll 和 QQZip.dll, Load代码插入QQ.exe
Load代码只需要找到代码所在的两个DLL的位置然后跳转过去就OK了.

优点比感染单个文件更难查杀(对于启发式来说),难清除(?),不用像单个文件一样太注意Shellcode的大小(在不增加文件大小的情况下).
缺点相对麻烦,稳定性没单个文件好.

第二种
属于EAT HOOK. 但是比传统的EAT HOOK难发现.
只需要一句你们就能明白.

#pragma comment( linker, "/EXPORT:ftsWordBreak=lpk.ftsWordBreak")

优点非常隐蔽, 至少到现在为止, 所有的安全软件都不查杀这种方式.
缺点需要多存在一个DLL文件.

P.S.
上面两种感染方式我都没有见过具体样本或者代码. 但杀毒软件对于以上两种感染方式的查杀确实...
现在只有木马, 没有病毒. 真龌龊.

[课程]Linux pwn 探索篇！

收藏・9

免费・7

支持

最新回复 (16)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 2 楼 1.只要改写QQ和迅雷的文件就报警，管你怎么感染。 2.都没样本和代码意淫个什么劲杀毒软件 2010-1-2 12:32 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼 MJ快1000帖了~ 2010-1-2 15:04 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 4 楼 TEST 看看自己多少贴。。 2010-1-2 17:26 0
jgaoabc 雪币： 394 活跃值： (131) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 57 粉丝 0 关注私信	jgaoabc 1 5 楼我在自己的电脑上做过在QQ上装个后门的试验，是这样的：QQ.EXE调用自身目录下的Common.dll动态库，我选择Common.dll的输出表函数?NotifyIdle@TXTimer@@YAXXZ，给它另外加个下载者的汇编代码，这样用户只要打开QQ，在出现登陆画面时，就会运行我的下载者的代码，为了防止多次调用这个函数造成重复下载，给它加了个开关，只下载一次。虽然破坏了Common.dll的数字签名，但是改装后的Common.dll这个文件瑞星和NOD32不会查杀。第二种方式不大理解。 2010-1-2 22:58 0
Vxer 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 61 粉丝 0 关注私信	Vxer 6 楼意淫，，，， 2010-1-3 16:02 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 7 楼 @ Vxer 不懂不要乱说话。 @ qihoocom 无聊。自己下载附件看。你们有自己的查毒引擎吗？你查毒引擎有查这种方式吗？别说主动防御那东西更废。上传的附件： usp10.zip （180.84kb，53次下载） VirusTotal - Free Online Virus, Malware and URL Scanner_1285335047385.png （113.48kb，530次下载） 2010-9-24 21:31 0
XPoy 雪币： 242 活跃值： (418) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 279 粉丝 5 关注私信	XPoy 3 8 楼 thsthsths.. 收藏usp10 2010-9-25 00:28 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 9 楼这贴又出来了其实楼主说的方法已经出现很久了，特别是第一种，稍微有点不一样，至少我是在05年就看到过相关工具了，叫robinpe还是什么的，专门有篇文章，好像叫见缝插针伪造木马第二种么，在xp下有效，vista以上估计不好用了 2010-9-25 22:51 0
哥布林雪币： 27 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 123 粉丝 0 关注私信	哥布林 10 楼没有标题吸引人嘛。 2010-9-26 11:43 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 11 楼强悍。。。。当我安装360后，有时候用搜狗拼音输入法怎么点键盘上的按键都点不出来。。这个出现的概率可是说是经常性的。。 2010-9-26 13:14 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 12 楼麻烦看明白了再发表你的高见。你二种你以为是什么？只是顺手拿个usp10示范，跟你以为的KnownDlls没有半毛钱关系。还扯上vista了。 2010-9-26 13:29 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 13 楼第一种方法对于解决感染目标体空间不足确实是个不错的idea（当然前提是，就像MJ所说需要能修改文件并不被发现）第二种方法就没什么心意了，海风很早就发过pdf，而且在XP的某个补丁之后就不起作用了。顶一下共享精神。 2010-9-26 13:36 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 14 楼算了，我不该用usp10做范例的。这个跟usp10和lpk等是没有关系的。是静态EAT HOOK。或者用“EAT Hijack”更准确。这两天我直接上代码吧。第一个主要不是用来解决可用代码空间不足，而是用来对抗启发式查毒。现在查毒引擎对多文件查杀貌似很弱。 2010-9-26 14:17 0
YFLK 雪币： 253 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 150 粉丝 0 关注私信	YFLK 15 楼思路很好,"二元病毒"? 2010-9-27 08:17 0
XPoy 雪币： 242 活跃值： (418) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 279 粉丝 5 关注私信	XPoy 3 16 楼支持LZ继续爆料 :P... 关于第二个，其实有一个样本挺多的实际应用的例子: system32/lpmidimap.dll 2010-9-27 13:10 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 17 楼不错试试看 2010-10-1 11:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

iiii

发帖

218

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 2 楼 1.只要改写QQ和迅雷的文件就报警，管你怎么感染。 2.都没样本和代码意淫个什么劲杀毒软件 2010-1-2 12:32 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼 MJ快1000帖了~ 2010-1-2 15:04 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 4 楼 TEST 看看自己多少贴。。 2010-1-2 17:26 0
jgaoabc 雪币： 394 活跃值： (131) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 57 粉丝 0 关注私信	jgaoabc 1 5 楼我在自己的电脑上做过在QQ上装个后门的试验，是这样的：QQ.EXE调用自身目录下的Common.dll动态库，我选择Common.dll的输出表函数?NotifyIdle@TXTimer@@YAXXZ，给它另外加个下载者的汇编代码，这样用户只要打开QQ，在出现登陆画面时，就会运行我的下载者的代码，为了防止多次调用这个函数造成重复下载，给它加了个开关，只下载一次。虽然破坏了Common.dll的数字签名，但是改装后的Common.dll这个文件瑞星和NOD32不会查杀。第二种方式不大理解。 2010-1-2 22:58 0
Vxer 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 61 粉丝 0 关注私信	Vxer 6 楼意淫，，，， 2010-1-3 16:02 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 7 楼 @ Vxer 不懂不要乱说话。 @ qihoocom 无聊。自己下载附件看。你们有自己的查毒引擎吗？你查毒引擎有查这种方式吗？别说主动防御那东西更废。上传的附件： usp10.zip （180.84kb，53次下载） VirusTotal - Free Online Virus, Malware and URL Scanner_1285335047385.png （113.48kb，530次下载） 2010-9-24 21:31 0
XPoy 雪币： 242 活跃值： (418) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 279 粉丝 5 关注私信	XPoy 3 8 楼 thsthsths.. 收藏usp10 2010-9-25 00:28 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 9 楼这贴又出来了其实楼主说的方法已经出现很久了，特别是第一种，稍微有点不一样，至少我是在05年就看到过相关工具了，叫robinpe还是什么的，专门有篇文章，好像叫见缝插针伪造木马第二种么，在xp下有效，vista以上估计不好用了 2010-9-25 22:51 0
哥布林雪币： 27 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 123 粉丝 0 关注私信	哥布林 10 楼没有标题吸引人嘛。 2010-9-26 11:43 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 11 楼强悍。。。。当我安装360后，有时候用搜狗拼音输入法怎么点键盘上的按键都点不出来。。这个出现的概率可是说是经常性的。。 2010-9-26 13:14 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 12 楼麻烦看明白了再发表你的高见。你二种你以为是什么？只是顺手拿个usp10示范，跟你以为的KnownDlls没有半毛钱关系。还扯上vista了。 2010-9-26 13:29 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 13 楼第一种方法对于解决感染目标体空间不足确实是个不错的idea（当然前提是，就像MJ所说需要能修改文件并不被发现）第二种方法就没什么心意了，海风很早就发过pdf，而且在XP的某个补丁之后就不起作用了。顶一下共享精神。 2010-9-26 13:36 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 14 楼算了，我不该用usp10做范例的。这个跟usp10和lpk等是没有关系的。是静态EAT HOOK。或者用“EAT Hijack”更准确。这两天我直接上代码吧。第一个主要不是用来解决可用代码空间不足，而是用来对抗启发式查毒。现在查毒引擎对多文件查杀貌似很弱。 2010-9-26 14:17 0
YFLK 雪币： 253 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 150 粉丝 0 关注私信	YFLK 15 楼思路很好,"二元病毒"? 2010-9-27 08:17 0
XPoy 雪币： 242 活跃值： (418) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 279 粉丝 5 关注私信	XPoy 3 16 楼支持LZ继续爆料 :P... 关于第二个，其实有一个样本挺多的实际应用的例子: system32/lpmidimap.dll 2010-9-27 13:10 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 17 楼不错试试看 2010-10-1 11:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复