首页
社区
课程
招聘
[原创]变形过云查杀
发表于: 2011-8-9 10:04 12634

[原创]变形过云查杀

2011-8-9 10:04
12634

PS:360 8.1好生猛,刚更新完,就提示写的正常程序为病毒木马恶意程序,难道有进程注入就是恶意程序?还上传我写的程序到云服务器,要斩尽杀绝吗?
          所以想到变形的重要性....
--------------------------------------------------------------------------------------------

变形结果:1.每次运行时,随机内存变形
             2.每运行一次,程序本事的HASH值改变
             3.每运行一次,易被定义为特征值的二进制代码片段改变

变形思路:1.内存引擎
             2.MD5变形
             3.代码引擎
(貌似云服务器暂时只以特征值和MD5定义病毒木马恶意程序)

变形方法:1.采用病毒的感染方式加壳
              2.winrar捆绑
(第二种方法应该都能实现)
----------------------------------------------------------------
(暂时完成了三个版本,采用了注入,bat,静态修改的方式,
为了防止360把代码定义为查杀特征,这里只公布部分代码,感兴趣
的同学可以发站内信,或者加我  扣扣:2401733005)

;-------------------------------------------------------
;GetAPIAddr()
;-------------------------------------------------------
GetAPIAddr:
       
        mov  ebx,[eax+3ch]
        add  ebx,eax
        add  ebx,78h
         
        mov  ebx,[ebx]
        add  ebx, eax
        mov  ecx,ebx
       
        push ebx
        mov  ebx,[ebx+32]
        add  ebx,eax
       
        xor  edx,edx
        push esi
        push edx
   
    s3:       
            pop  edx
            pop  esi
           
            inc  edx
        mov  edi,[ebx]
        add  edi,eax
        add  ebx,4
       
        push esi
        push edx
       
    s1:
        mov  dl,[edi]
        mov  dh,[esi]

        cmp  dl,dh
        jne  s3
       
        inc  esi
        inc  edi
        cmp  BYTE PTR [esi],0
        je   s2
       
        jmp  s1

    s2:
            pop  edx
            pop  esi
        
        pop  ebx                     
        mov  ecx,[ebx+36]
        add  ecx,eax
        
        dec  edx
        shl  edx,1
        
        add  ecx,edx
        
        mov  edx,0
        mov  dx,[ecx]            
        
        shl  edx,2
        
        mov  ecx,[ebx+28]
        add  ecx,eax
        add  ecx,edx
        
        add  eax,[ecx]
        
        ret  
;-----------------------------------------------
;GetStrLen:
;------------------------------------------------
GetStrLen:

        mov eax,0
        mov ecx,0
get_start:
        mov cl,BYTE ptr [ebx]
        cmp cl,0
        je  get_over
       
        inc eax
        inc ebx
        jmp get_start
       
get_over:
        ret
       
            ;---------------------------------------------
            head                     dd      0
            file_offset              dd      0
            hMoudle                  dd      0
            strdbg                          db           '%d',0ah,0
            hFile                      dd      0
            num                     dd      0
            buf                       db     MAX_PATH dup(0),0
            len                       dd      0
            fileoffset               dd      40960
            path                     db     MAX_PATH dup(0),0       
            old_oep                  dd      0       
            ;---------------------------------------------
    over:

。。。。。。。。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (13)
雪    币: 2314
活跃值: (2205)
能力值: (RANK:400 )
在线值:
发帖
回帖
粉丝
2
过360 8.2以前的版本只需要改MD5就行了~
8.2以后的版本增加了QVM主防,不好过了。。。
2011-8-9 10:37
0
雪    币: 54
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
共享就共享,没有诚意!
2011-8-9 10:47
0
雪    币: 212
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这贴果断留名,期待楼主更新更多方法!
2011-8-9 10:48
0
雪    币: 249
活跃值: (71)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
5
过MD5一点用都没有,能过主防才是王道
2011-8-9 10:58
0
雪    币: 151
活跃值: (70)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
6
希望大家和多多交流经验,自从有了360,写收费软件的日子都不好过啊....
2011-8-9 11:02
0
雪    币: 151
活跃值: (70)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
7
过主防只要在代码里不使用特殊的 API组合,不使用被怀疑的API,修改段的默认结构,不加被怀疑的壳,就可以的过的啊
2011-8-9 11:11
0
雪    币: 249
活跃值: (71)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
8
楼主太天真了吧,主动防御和行为挂钩,和API组合有什么关系啊,欢迎给出样本或讲述原理
2011-8-9 11:23
0
雪    币: 151
活跃值: (70)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
9
以我的理解,程序就是 数据 + 算法,
  所谓的 程序的行为 从底层上讲,就是对内存的读写以及执行。
  从编程语言的角度说,就是函数和变量,以及寄存器的使用,内存以及寄存器的操作算不上特征,只能从函数入手,函数里都是直接或者间接的调用win api,如果完全自己实现 部分的win api,主防就看不清代码流程了....
   不过上述对对360 主防貌似不怎么管用,因为我写的正常的软件都被报毒了......
2011-8-9 11:43
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
10
主防应该是根据你程序的行为来判断吧,API都被挂钩了,算法,算法有啥用,算法能打开进程?有些东西不是算法就能搞定的,你随便下载一个瑞星啥的,打开XueTr看下内核钩子那个菜单,全红~!
2011-8-9 12:15
0
雪    币: 39
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
主防
嘿嘿,我记得有一次,向魔兽的文件夹里释放文件和修改文件名,是被360报了得。但是换一个方式,就不会了。记得是SHXxxx系列的函数,也许是巧合吧。但是我一直在想一个问题,为什么我们手动创建或者删除、替换一个文件,主防不会报,而使用程序就会报呢?求解释
2011-8-9 15:59
0
雪    币: 171
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
很期待啊
2011-8-10 13:00
0
雪    币: 12
活跃值: (773)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
父进程
2011-8-10 22:28
0
雪    币: 217
活跃值: (92)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
SHXxxx系列的函数 360 程序里经常用到的,我们也可以这样操作的
2011-8-11 10:32
0
游客
登录 | 注册 方可回帖
返回
//