[原创]三线程防杀2测试(更新)原理已发布-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]三线程防杀2测试(更新)原理已发布

发表于: 2011-4-2 11:29 12355

[原创]三线程防杀2测试(更新)原理已发布

liuqiangni 活跃值

2011-4-2 11:29

12355

因为上次发了篇文章,<<关于三线程防杀的一些思想和VC代码>>,有很多人说特别简单,确实我也知道,自己写的是比较基础的一些东西,现阶段自己也写不了很高深的东西.
(上次文章写的较多,为方便大家查看,今再开一贴)

原文章地址:http://bbs.pediy.com/showthread.php?t=131537

写文章有2个目的:其一,给自己前阶段的学习作一个总结,以后回想起来也知道这段时间自己在做什么,不至于是空白的;其二,论坛上也还有很多像我一样的菜鸟朋友,文章也算是起一个交流作用吧.

今天再发一帖,我把上次发的文章的代码重写了一遍,修改了很多地方(主要部分没有改变),上次源码给了,软件没有作任何处理,写出来就发出来了,所以有点基础的朋友都可以逆向我的软件了.

本来今天发的这款软件只能算是个半成品,因为这几天上课的时间较紧,也没什么时间写,清明想回家,所以先发一个出来,大家先看一下,我回家之后把没加上的代码补上,这件事就算完了.源码清明后补全程序后一齐放出.(欢迎大家跟帖指出软件存在的缺陷和漏洞)

声明:
   本程序没有任何恶意,由于时间关系,没有做杀毒软件免杀,本人以看雪ID担保,程序没有加入任何恶意代码,源码等清明我到学校后再放出,有能力的同学可以逆向一下我的程序,写的很烂,就不多说了,为了测试的效果,请关闭杀毒软件或者在虚拟机里面测试

  今天到学校了,把没有写完的东西写完吧,写完后就全心全意的去写搜索引擎吧,这个是我同学提出来的,我觉得我们合作可以写出来,可能没有那么完美,算是人生的一种经历吧,毕业后找工作也可以拿出个像样的东西吧....

  先说一下这个软件工作机制吧,我没有想过要写的多复杂,多具有杀伤力,这个不是我追求的,毕竟我不想从事木马或者是病毒的写作.虽然我以前也做过免杀,控制过别人的电脑,我觉得那一点也不光明,别人问你在做什么,真的说不出口,虽然心里面不是这么阴暗的,这样就好像别人都觉得你心里是阴暗的了,虽然同学看我操控别人的电脑,别人却浑然不知的时候,同学都说我很牛怎么的,但我总觉得那不是在夸我,我反到觉得那是在骂我.仿佛我和他们隔了什么东西似的,很难交心,虽然我那时候只是追求技术上面的提高...
   但那都是以前的事情了,可以说我是由木马开始想到学习编程的,那时候我的梦想就是自己写一款木马,我觉得那是很牛的事情.可现在我不这么想了,学的东西多了,就越怕自己做出什么事出来,看了<<疯狂的程序员>>,觉得绝影的经历真的和我很像,我仿佛能看到,若干年后的我自己是否就会和绝影一样.钱这个东西很多人都扛不住的.我不知道我自己能不能扛住.我努力的去学法律,学着保护自己.也学着不要做违法的事情,想着牢里的生活,让人后怕.
   可能很多人都认为写病毒或者木马的人都是心里面很阴暗的人,其实我不这样认为.技术都是两面的,有矛就盾,有攻就有防,就看你怎么把握了.我以后就想去杀毒软件公司,其实挺想去360的,以前就觉得木马才是很精巧的,是很有水平的人才能够做得出来的,所以和这样的人或者软件斗争,技术自然提高很快.  以前360没有上市的时候就想去,现在上市了,恐怕招人的条件就更高了,自己太业余,恐怕就难登大堂了.
   现在只有继续努力的学习,力争达到目标. 好[了,废话扯多了!
   说说软件没有加的那个功能吧,代码不给了,有一定的危险性(具体参见我<U盘偷窥者>里面的查找文件按的函数),原本弄一个LPK作为传播我们的木马的,姑且就叫它木马吧, LPK里面就实现一个功能,DllMain函数里面  判读我们进程里面有没有Main.exe 如果有的话,就什么都不做,没有的话就从我们的源头上面复制文件到C:\windows 下面然后执行Main.exe  下面给出我定义的几个宏,是关于文件存放的问题的

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

三线程防杀第2版.rar （66.85kb，121次下载）
三线程防杀第2版源码.rar （45.82kb，91次下载）

收藏・14

免费・7

支持

最新回复 (18)
ghban 雪币： 364 活跃值： (91) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 123 粉丝 0 关注私信	ghban 2 楼先占个位置，感谢LZ 2011-4-2 12:02 0
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 3 楼请关闭杀毒软件或者在虚拟机里面测试 2011-4-2 12:19 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 4 楼怎么,这个个有什么问题呀,你可以本机测试,注入的时候杀软肯定报毒,这点不用怀疑,但程序本身是没有恶意的...杀不杀得掉,就看你的本事了,祝你好运!放心,杀不掉我可以帮你解决,不用担心! 2011-4-2 12:38 0
狂起来雪币： 85 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 146 粉丝 0 关注私信	狂起来 5 楼哦，还不是源码 2011-4-2 12:40 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 6 楼我都看到源码了。 2011-4-2 14:27 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 7 楼关闭杀软就没得搞了，不用测试了 2011-4-2 14:41 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 8 楼逆了下你6个子函数，发现基本没做函数功能自身保护。简单给你DLL 和 EXE 加了一段shellcode运行我的dll SEH HOOK CreateThread，你的线程守护又失效了。给你点建议在dllMain这个地方，不要马上去创建功能函数线程的，多加些检测。还有CopyFileA，OpenProcess ，SetFileAttributesA 最好自己实现，不要直接去调API。 2011-4-2 14:53 0
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 9 楼要是病毒都是在无杀软的环境下一些人拿脚都能写病毒了 2011-4-2 17:34 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 10 楼多谢指点,这个旨在交流,我还有一个功能没有放出来,不过是来源于我电脑以前感染的病毒.上次写代码的时候,时间有点紧,我主要想的是如何做到逻辑上面的紧密,至于检测我倒是没有想,本来也没有想将它写成一个完整功能的病毒或木马的. 2011-4-4 19:11 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 11 楼刚开始这个只是因为三线程而延伸出来的,没有准备把它写成病毒,所以很多东西都没有.要是病毒附加在外挂上面呢,杀软认为有毒,而你想用外挂,你关掉杀软么?还是不关? 2011-4-4 19:34 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 12 楼客气，指点谈不上，只是想让你写的更佳完美些。 2011-4-4 19:45 0
fairynull 雪币： 421 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 292 粉丝 0 关注私信	fairynull 13 楼果然厉害,搞得我用dos才删除掉。 2011-4-4 20:46 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 14 楼呵呵,我只是把逻辑层面上的东西写完了,一环套一环.我不想写的太复杂,很多东西能省掉就省掉了 2011-4-4 21:15 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 15 楼我的DLL文件全部是明码给出的,你逆向下我的Main.exe 看看我做了点什么...呵呵 2011-4-4 21:22 0
网上勇士雪币： 203 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 41 粉丝 0 关注私信	网上勇士 16 楼很好，很强，支持 2011-4-5 23:20 0
jackleebug 雪币： 34 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	jackleebug 1 17 楼 LZ 我试了你的这个程序你监控注册表的时候只监控了注册表项Main.exe 不被删除但是我把Main.exe的键值改了 c:\windows\main.exe 我改成 c:\windows\mainaaa.exe 然后重启后你的程序就没动静了我就可以删除它了但是你的DLL 我没找到拷到什么地方去了我看了下c:\windows\system32下用修改时间排序有个mc开头的DLL 我就删了不知道是不是这个。 2011-4-9 17:53 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 18 楼我没有设置文件时间,所以你按时间来排是正确的,我如果设置文件时间了,这个就不对了,我没有设置开机就启动我DLL文件,是由Main.exe加载然后注入的,所以注册表中的main.exe被改动了,就启动不了了,这是个缺点,不过我给的也就是个思路,离真正的病毒差远了 2011-4-9 21:10 0
pady 雪币： 212 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	pady 19 楼呵呵我不明真相逆下看看 2011-4-18 15:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

liuqiangni

发帖

436

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
ghban 雪币： 364 活跃值： (91) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 123 粉丝 0 关注私信	ghban 2 楼先占个位置，感谢LZ 2011-4-2 12:02 0
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 3 楼请关闭杀毒软件或者在虚拟机里面测试 2011-4-2 12:19 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 4 楼怎么,这个个有什么问题呀,你可以本机测试,注入的时候杀软肯定报毒,这点不用怀疑,但程序本身是没有恶意的...杀不杀得掉,就看你的本事了,祝你好运!放心,杀不掉我可以帮你解决,不用担心! 2011-4-2 12:38 0
狂起来雪币： 85 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 146 粉丝 0 关注私信	狂起来 5 楼哦，还不是源码 2011-4-2 12:40 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 6 楼我都看到源码了。 2011-4-2 14:27 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 7 楼关闭杀软就没得搞了，不用测试了 2011-4-2 14:41 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 8 楼逆了下你6个子函数，发现基本没做函数功能自身保护。简单给你DLL 和 EXE 加了一段shellcode运行我的dll SEH HOOK CreateThread，你的线程守护又失效了。给你点建议在dllMain这个地方，不要马上去创建功能函数线程的，多加些检测。还有CopyFileA，OpenProcess ，SetFileAttributesA 最好自己实现，不要直接去调API。 2011-4-2 14:53 0
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 9 楼要是病毒都是在无杀软的环境下一些人拿脚都能写病毒了 2011-4-2 17:34 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 10 楼多谢指点,这个旨在交流,我还有一个功能没有放出来,不过是来源于我电脑以前感染的病毒.上次写代码的时候,时间有点紧,我主要想的是如何做到逻辑上面的紧密,至于检测我倒是没有想,本来也没有想将它写成一个完整功能的病毒或木马的. 2011-4-4 19:11 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 11 楼刚开始这个只是因为三线程而延伸出来的,没有准备把它写成病毒,所以很多东西都没有.要是病毒附加在外挂上面呢,杀软认为有毒,而你想用外挂,你关掉杀软么?还是不关? 2011-4-4 19:34 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 12 楼客气，指点谈不上，只是想让你写的更佳完美些。 2011-4-4 19:45 0
fairynull 雪币： 421 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 292 粉丝 0 关注私信	fairynull 13 楼果然厉害,搞得我用dos才删除掉。 2011-4-4 20:46 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 14 楼呵呵,我只是把逻辑层面上的东西写完了,一环套一环.我不想写的太复杂,很多东西能省掉就省掉了 2011-4-4 21:15 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 15 楼我的DLL文件全部是明码给出的,你逆向下我的Main.exe 看看我做了点什么...呵呵 2011-4-4 21:22 0
网上勇士雪币： 203 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 41 粉丝 0 关注私信	网上勇士 16 楼很好，很强，支持 2011-4-5 23:20 0
jackleebug 雪币： 34 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	jackleebug 1 17 楼 LZ 我试了你的这个程序你监控注册表的时候只监控了注册表项Main.exe 不被删除但是我把Main.exe的键值改了 c:\windows\main.exe 我改成 c:\windows\mainaaa.exe 然后重启后你的程序就没动静了我就可以删除它了但是你的DLL 我没找到拷到什么地方去了我看了下c:\windows\system32下用修改时间排序有个mc开头的DLL 我就删了不知道是不是这个。 2011-4-9 17:53 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 18 楼我没有设置文件时间,所以你按时间来排是正确的,我如果设置文件时间了,这个就不对了,我没有设置开机就启动我DLL文件,是由Main.exe加载然后注入的,所以注册表中的main.exe被改动了,就启动不了了,这是个缺点,不过我给的也就是个思路,离真正的病毒差远了 2011-4-9 21:10 0
pady 雪币： 212 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	pady 19 楼呵呵我不明真相逆下看看 2011-4-18 15:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复