[讨论]c/c++木马技术问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (18)
cnlgz 雪币： 45 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	cnlgz 1 2 楼你这个问题提得太笼统了，不过我还是说下我的看法：（1）反弹模式一般都可以过内置防火墙，如果加上端口复用，比如80，那是不是会更好呢？其实木马主要难题在于免杀（2）线程的注入的确很敏感，但是还是有办法绕过了，你可以尝试只写线程的注入，然后进行源码的免杀处理，这里涉及到的知识可能就不止是编程了，一言难以表达，推荐看下gh0st的源码免杀教程（3）木马的通信架构很多都是基于TCP（链接）和UDP（比如一些视频监控等，比较少）混用模式，当然也有其他模式，你说的SSL不是很可行（个人看法），不过倒是可以考虑通过代理模式上线（4）现在很少通过修改注册表了，当然有时候还是需要配合使用，比如ActiveX启动，线程注入启动，服务启动还有很多就不一一列举了。要睡觉了，先说这些，期待其他朋友的见解，关注此帖。另外重点提出关于网络模型的选择，IOCP个人觉得是远控最好的网络模型了。 2011-6-9 23:42 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 3 楼 ============================================ 关于木马免杀我想：给文件的二进制数据进行加密在加载前解密（也就是加壳）应该可以达到免杀的效果吧？您说的线程注入：我研究时间不长，只知道远程想成注入，用HOOK强制映射DLL两种方法，不知道还有什么样的方法啊？期待回复。。。 2011-6-9 23:56 0
smallwen 雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	smallwen 4 楼菜鸟路过学习…持续关注，期待… 2011-6-10 07:29 0
zhangx大牛雪币： 51 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	zhangx大牛 5 楼端口反弹，我单位以前的产品也用这个 2011-6-10 08:48 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 6 楼静态扫描可以，加载到内存就会被发现的。 2011-6-10 10:53 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 7 楼那只能用传统的免杀方法如：加花指令，修改特征码等方法了。。还有什么新的技术没？ 2011-6-10 21:15 0
ovenwlm 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	ovenwlm 8 楼学习啦！！！！！！！！ 2011-6-10 23:17 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 9 楼顶一下自己 2011-6-11 17:57 0
ththydee 雪币： 49 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	ththydee 10 楼这方面还没钻研过呢主要涉及网络 2011-6-11 18:04 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 11 楼没事儿广泛的交流只要是设计到木马技术的网络方面我都愿听其详啊。。哈哈谢谢您给于指教 2011-6-11 18:09 0
zhangx大牛雪币： 51 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	zhangx大牛 12 楼现在杀软是见壳就杀 2011-6-11 18:56 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 13 楼杀软判断PE文件的入口函数，加壳后入口函数位置会异常，以此来查杀不知道是不是？我现在资源有限，仅仅是通读过一个简单的壳的源代码。不知道是不是可以消除壳的这个异常特点呢？还有我想知道杀软是通过那几个特点来判断一个PE文件是否加壳了呢？（我想我是知道一些特点了，但是不知道杀软是怎样判断的）愿闻其详，谢谢。。。 2011-6-11 19:16 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 14 楼 ... 2011-6-13 20:12 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 15 楼求教啊 2011-6-18 14:42 0
uwmnth 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	uwmnth 16 楼都是牛人啊。 2011-6-18 15:09 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 17 楼求交流 2011-6-21 15:09 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 18 楼楼主，你免杀了吗！！！ 2016-2-21 22:22 0
yanjunmin 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	yanjunmin 19 楼求源码分享一下啊 2016-2-22 09:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (18)
cnlgz 雪币： 45 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	cnlgz 1 2 楼你这个问题提得太笼统了，不过我还是说下我的看法：（1）反弹模式一般都可以过内置防火墙，如果加上端口复用，比如80，那是不是会更好呢？其实木马主要难题在于免杀（2）线程的注入的确很敏感，但是还是有办法绕过了，你可以尝试只写线程的注入，然后进行源码的免杀处理，这里涉及到的知识可能就不止是编程了，一言难以表达，推荐看下gh0st的源码免杀教程（3）木马的通信架构很多都是基于TCP（链接）和UDP（比如一些视频监控等，比较少）混用模式，当然也有其他模式，你说的SSL不是很可行（个人看法），不过倒是可以考虑通过代理模式上线（4）现在很少通过修改注册表了，当然有时候还是需要配合使用，比如ActiveX启动，线程注入启动，服务启动还有很多就不一一列举了。要睡觉了，先说这些，期待其他朋友的见解，关注此帖。另外重点提出关于网络模型的选择，IOCP个人觉得是远控最好的网络模型了。 2011-6-9 23:42 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 3 楼 ============================================ 关于木马免杀我想：给文件的二进制数据进行加密在加载前解密（也就是加壳）应该可以达到免杀的效果吧？您说的线程注入：我研究时间不长，只知道远程想成注入，用HOOK强制映射DLL两种方法，不知道还有什么样的方法啊？期待回复。。。 2011-6-9 23:56 0
smallwen 雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	smallwen 4 楼菜鸟路过学习…持续关注，期待… 2011-6-10 07:29 0
zhangx大牛雪币： 51 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	zhangx大牛 5 楼端口反弹，我单位以前的产品也用这个 2011-6-10 08:48 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 6 楼静态扫描可以，加载到内存就会被发现的。 2011-6-10 10:53 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 7 楼那只能用传统的免杀方法如：加花指令，修改特征码等方法了。。还有什么新的技术没？ 2011-6-10 21:15 0
ovenwlm 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	ovenwlm 8 楼学习啦！！！！！！！！ 2011-6-10 23:17 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 9 楼顶一下自己 2011-6-11 17:57 0
ththydee 雪币： 49 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	ththydee 10 楼这方面还没钻研过呢主要涉及网络 2011-6-11 18:04 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 11 楼没事儿广泛的交流只要是设计到木马技术的网络方面我都愿听其详啊。。哈哈谢谢您给于指教 2011-6-11 18:09 0
zhangx大牛雪币： 51 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	zhangx大牛 12 楼现在杀软是见壳就杀 2011-6-11 18:56 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 13 楼杀软判断PE文件的入口函数，加壳后入口函数位置会异常，以此来查杀不知道是不是？我现在资源有限，仅仅是通读过一个简单的壳的源代码。不知道是不是可以消除壳的这个异常特点呢？还有我想知道杀软是通过那几个特点来判断一个PE文件是否加壳了呢？（我想我是知道一些特点了，但是不知道杀软是怎样判断的）愿闻其详，谢谢。。。 2011-6-11 19:16 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 14 楼 ... 2011-6-13 20:12 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 15 楼求教啊 2011-6-18 14:42 0
uwmnth 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	uwmnth 16 楼都是牛人啊。 2011-6-18 15:09 0
youyouyue 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	youyouyue 17 楼求交流 2011-6-21 15:09 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 18 楼楼主，你免杀了吗！！！ 2016-2-21 22:22 0
yanjunmin 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	yanjunmin 19 楼求源码分享一下啊 2016-2-22 09:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [讨论]c/c++木马技术问题 0.00雪花