能力值:
( LV4,RANK:50 )
|
-
-
2 楼
你这个问题提得太笼统了,不过我还是说下我的看法:
(1)反弹模式一般都可以过内置防火墙,如果加上端口复用,比如80,那是不是会更好呢?其实木马主要难题在于免杀
(2)线程的注入的确很敏感,但是还是有办法绕过了,你可以尝试只写线程的注入,然后进行源码的免杀处理,这里涉及到的知识可能就不止是编程了,一言难以表达,推荐看下gh0st的源码免杀教程
(3)木马的通信架构很多都是基于TCP(链接)和UDP(比如一些视频监控等,比较少)混用模式,当然也有其他模式,你说的SSL不是很可行(个人看法),不过倒是可以考虑通过代理模式上线
(4)现在很少通过修改注册表了,当然有时候还是需要配合使用,比如ActiveX启动,线程注入启动,服务启动还有很多就不一一列举了。
要睡觉了,先说这些,期待其他朋友的见解,关注此帖。另外重点提出关于网络模型的选择,IOCP个人觉得是远控最好的网络模型了。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
============================================
关于木马免杀我想:给文件的二进制数据进行加密 在加载前解密 (也就是加壳)应该可以达到免杀的效果吧?
您说的线程注入:我研究时间不长 ,只知道远程想成注入,用HOOK强制映射DLL两种方法,不知道还有什么样的方法啊?
期待回复。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
菜鸟路过学习…持续关注,期待…
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
端口反弹,我单位以前的产品也用这个
|
能力值:
( LV5,RANK:60 )
|
-
-
6 楼
静态扫描可以,加载到内存就会被发现的。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
那只能用传统的免杀方法如:加花指令,修改特征码等方法了。。还有什么新的技术没?
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
学习啦!!!!!!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
顶一下自己
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
这方面还没钻研过呢主要涉及网络
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
没事儿 广泛的交流
只要是设计到木马技术的网络方面 我都愿听其详啊。。哈哈
谢谢您给于指教
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
现在杀软是见壳就杀
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
杀软判断PE文件的入口函数,加壳后入口函数位置会异常,以此来查杀
不知道是不是?我现在资源有限,仅仅是通读过一个简单的壳的源代码。
不知道是不是可以消除壳的这个异常特点呢?
还有我想知道杀软是通过那几个特点来判断一个PE文件是否加壳了呢?
(我想我是知道一些特点了,但是不知道杀软是怎样判断的)
愿闻其详,谢谢。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
...
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
求教啊
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
都是牛人啊。
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
求交流
|
能力值:
(RANK:20 )
|
-
-
18 楼
楼主,你免杀了吗!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
求源码分享一下啊
|
|
|