-
-
二次的gh0st
-
发表于: 2013-8-14 22:16
-
gh0st这个算是老东西了,很老很老的东西了.....这里有一份去年修改过的源码,然后有一些过杀软的思路方法.
有兴趣可以自己在里面加DDos的啊,网上源码很多直接找找Ctrl+C就好了.
第一、开机启动:
先说开机启动,这个杀软检测的很严,只要改动注册表(当然不只是改注册表这一种开机启动方法)立马就弹框了,这里很显然是改注册表的相关函数被做手脚了.
然后现在还有一种高端点的方法,感染所有模块,感染后只要打开被感染的就.....(加区段,找空隙等等就不说了)感染特征得不一样呢,最简单的是直接那段代码一个异或算法.(高端的方法自己想自己逆)
第二、静态查杀:
静态查杀一般是扫导入导出表和一些特征码,导入导出表这些懂编程的都知道怎么搞.(导入表的用GetP....来获取就好了,导出表得改导出名和函数一些特征;) 最后是特征码,特征码好像大多都用multiCCL一点的分解,然后再用杀软扫,再分解再扫.....一直到最后很小距离的几个地址(这些就是被杀的特征码).还有就是自己写免杀壳......
第三、域名拦截:
虽然用杀软扫不被杀了,但是安装服务端就提示黑客控制等等.
这里有一个思路就是把IP直接放在360,金山等论坛上然后.......
还有一种就是rundll32.exe MallList.dll Start(也不只是rundll32能这么干,这个去年测试是可以的)这样加载导出函数来解析域名然后再传回xxx进程,然后再连接,发现还是提示黑客控制.....
(金山提示这个,360不是提示的这个)提示这个得在源码里改包的内容和长度.
第四、主动防御:
这里一直都没好的方法,虽然知道杀软就是在KiFastCall....、SSDT和一些更底层的函数上做了手脚,但是自己的驱动无法主动加载上,来Pass这些.(或许只有在R3找Bug或者替换模块,然后xxx加载上自己的驱动来做更强有力的事.)
http://pan.baidu.com/share/link?shareid=3859509466&uk=2248167726
附加传不上,传百度网盘了. 过个七夕好多人放游戏驱动的,,,,,,,
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 学习下
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
