首页
社区
课程
招聘
[原创]白加黑木马开发思路
发表于: 2013-9-11 11:26 31011

[原创]白加黑木马开发思路

2013-9-11 11:26
31011
一、什么是白加黑
  白就是此文件在杀软的白名单中,不会被杀软查杀;黑就是我们的恶意代码,由自己编写。通常白黑共同组成木马的被控端,最大限度的逃避杀软查杀,增强抗杀能力,而且方便免杀处理。一般情况下白为exe(带有签名),黑为dll或者其他,当然黑可以分成多部分。
二、白加黑木马的结构
  1.Exe(白) ---load---> dll(黑)
  2.Exe(白) ---load---> dll(黑)---load---> 恶意代码
  为了方面免杀,我的建议是选择第二种,即被控端真正由三部分组成,第二部分中的代码要少,把核心都组织到第三部分,最好做成shellcode,在第二部分中call一下即可,这样做有个好处就是:第一部分不可能被杀,第三部分经过多态变形处理后,每次不一样,通常也不杀,然后免杀的主要任务将集中到第二部分那很少的代码上,而且是dll,很容易免杀。
三、寻找白exe
  这样的exe很多,但是他必须满足一下一些条件才行:
  1.带有正规厂商的签名
  2.依赖最小,不同的windows版本下都可以运行
  3.Exe调用了自己的dll
  4.尽可能的小点
四、编写黑dll
  按照他原来dll的输出表构造编写一个伪造的dll, 在dll中的合适位置编写加载shellcode的代码,于是exe+dll共同组成了一个shellcode加载器。
五、编写shellcode
  这里我的经验是不要手工用汇编写,这样的话一个完整的被控端太费时间,也太难维护,我的办法是把一个完整的dll转化成shellcode,所以被控端写成一个dll,然后三下五除二转成shellcode,很快很利索,然后多态引擎变形即可。
六、如何将三部分合成一个exe
  仁者见仁,智者见智,关键是合成后,这个安装器别被杀,呵呵

反反复复,折折腾腾,成品如下,望爱好者共同研究:


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 1
支持
分享
最新回复 (33)
雪    币: 11
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
木马主要还是要稳定 只要被安装了  就能持久 这个才是关键 当然首先就是要保证样本不被杀毒软件公司给捕获到
2013-9-11 11:36
0
雪    币: 5315
活跃值: (2771)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
可以尝试
2013-9-11 12:00
0
雪    币: 190
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
此贴不错,,围观
2013-9-11 12:25
0
雪    币: 5
活跃值: (108)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
找不到DLL转换成Shellcode工具。。
2013-9-11 13:03
0
雪    币: 9
活跃值: (41)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
对于360和金山,这个已经过时了!在一个月以前,针对白+黑木马拦截的技术突破,360就可以忽略白文件直接定位拦截DLL,也就是说白文件没效果了。
2013-9-11 14:06
0
雪    币: 579
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
那这意思是不是360和金山也就没有所谓的白名单了?
2013-9-11 14:15
0
雪    币: 17
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
金山和360确实无效了,不过对其他的还是很好用,所以这也是目前公开的较好的写马方式,应用面还很大
2013-9-11 15:46
0
雪    币: 341
活跃值: (138)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
9
赞同。。。。。
2013-9-11 15:56
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
这位大牛,能否教我一下白加黑方法免杀呢? 求你留下QQ,或者我QQ1342473512
2014-1-27 17:18
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
这位大牛,能否教我一下白加黑方法免杀呢? 求你留下QQ,或者我QQ1342473512 。感激不尽哦
2014-1-27 17:19
0
雪    币: 148
活跃值: (278)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
抓进去坐牢
2014-1-27 17:44
0
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
安全是一门技术,反安全是艺术呀。大家好好努力。
2014-1-27 18:11
0
雪    币: 77
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
mark
2014-1-30 17:25
0
雪    币: 80
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
听起来好叼的样子
2014-1-30 21:18
0
雪    币: 222
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
围观~~惊叹~~太牛了~~
2014-2-27 12:04
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
17
花了半个月时间整了一个,今天测了一下,数字,金山杀毒+主防  照爆不误...
2014-2-27 12:41
0
雪    币: 1149
活跃值: (888)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
18
膜拜一下,怎么过呀....
2014-2-27 12:53
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
19
呵呵,参考楼主的思路展开...  当然还有其他工作要做...   自己玩玩就行了,,这种东西传播不得
不能低估数字,金山滴云云,虐国外杀软还是很爽的,支持国产..
2014-2-27 12:59
0
雪    币: 1149
活跃值: (888)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
20
过卡巴,和数字么..... 这个不过,就没啥意思,我来涨姿势,来咯...
2014-2-27 13:02
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
21
通杀卡巴斯基,小红伞,AVG,诺顿,赛门铁克EndPoint,EOD32,数字,金山,BitDefender,有兴趣也可以测其他杀软,上午已测试
2014-2-27 13:03
0
雪    币: 1149
活跃值: (888)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
22
卤煮我来帮你测测.... 发我试试 ,我这边看能不能跑出来,给你报告
2014-2-27 13:05
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
23
玩玩就行了,样本云上去就没得完了... 嘿嘿
你可以照楼主思路实现一下,效果确实不错...
2014-2-27 13:06
0
雪    币: 17
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
卡巴有办法过咯,每种杀软都有特别之处,但是也有共同之处...,大处着眼,小处着手,方能柳暗花明啊...
2014-3-1 13:52
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
25
数字都不是问题,何况卡巴...     Adobe 0day – CVE-2014-0502 APT样本攻击行为分析中提到的PlugX RAT值得借鉴
2014-3-1 13:57
0
游客
登录 | 注册 方可回帖
返回
//