-
-
[旧帖]
[转帖][无责任凑发贴第二弹]自己写的RAT++ 远程控制木马 开源咯
0.00雪花
-
发表于:
2011-6-26 06:49
2305
-
[旧帖] [转帖][无责任凑发贴第二弹]自己写的RAT++ 远程控制木马 开源咯
0.00雪花
本文涉及开源软件无版权
原文地址:http://tieba.baidu.com/f?kz=1104556821
主界面:
可以轻松建立数十个控制端 同时监听数十个端口
功能1: 批量下载 刷流量必备
CMD模拟 本来想完全仿真CMD的 可惜没时间了
主机筛选 可以筛选窗口标题 进程 等等.
双开3389 支持内外网通杀. 一键全自动化
自动开guest账号 密码为ratpp
自动调用mstsc 全自动连接
内网也能连接上哦 这个功能 给一些站长用的
比如 开3389 上去 点自己的网站 可以带来很大的利益
有些广告 点击一次几块钱 有些软件下载安装 也几块呢
这个就不多说了
最大的亮点 应该是 可以突破大部分安全软件的主动防御..
单DLL ,注册svchost服务启动.
国内这些所谓的
360XXOO卫士
金山毒霸
瑞星
卡巴XX版本
主动防御一律破了
原理很简单
我首先找到了一个exe 假设为xx.exe
该exe 只有10几KB 带数字签名 并且该exe几乎在所有杀毒软件中 都是白名单 因为带数字签名了..
该EXE 会加载一个dll
假设为xxx.dll(小马的核心)
那么主程序 会 把 xx.exe释放出来 然后在释放 xxx.dll
再运行xx.exe 这样 xx.exe就会加载xxx.dll 之后 该干啥事就干啥事吧 在白名单内 你懂的.
但是 有一点十分要注意了
如果我们运行xx.exe 这样我们就是xx.exe父进程 这样还是逃不过HIPS
这里有一个好办法
我首先打开个一个资源管理窗口
然后找到这个地址栏的句柄 发送 WM_SETTEXT
然后回车
这样xx.exe 的父进程就是explorer.exe了
卡巴啊 360啊 金山 就老实了
因为某些原因 该软件 几乎一开发出来 就没使用过
源码搁在那里很久了 扔了 不免绝对可惜 因为写了快半个月
本来写着 想练习windows下的编程
把文件管理 注册管理 服务管理 屏幕监控 视频监控 语音监控
等等. 可惜后来实在没时间了 就放弃了.
我先研究下肿么传附件 把源码传上来
不准拿出去干坏事哦 小心网监蜀黍
因为考虑到某些坏人会拿来做坏事
所以没包含生成器源码
控制端 服务端 源码完整
图片不能正确显示
So...
EggAche Games Challenge Everything~
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
