[原创]白加黑木马开发思路-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]白加黑木马开发思路

发表于: 2013-9-11 11:26 30834

[原创]白加黑木马开发思路

tojen

2013-9-11 11:26

30834

一、什么是白加黑
　　白就是此文件在杀软的白名单中，不会被杀软查杀；黑就是我们的恶意代码，由自己编写。通常白黑共同组成木马的被控端，最大限度的逃避杀软查杀，增强抗杀能力，而且方便免杀处理。一般情况下白为exe（带有签名），黑为dll或者其他，当然黑可以分成多部分。
二、白加黑木马的结构
　　1.Exe(白) ---load---> dll（黑）
　　2.Exe(白) ---load---> dll（黑）---load---> 恶意代码
　　为了方面免杀，我的建议是选择第二种，即被控端真正由三部分组成，第二部分中的代码要少，把核心都组织到第三部分，最好做成shellcode，在第二部分中call一下即可，这样做有个好处就是：第一部分不可能被杀，第三部分经过多态变形处理后，每次不一样，通常也不杀，然后免杀的主要任务将集中到第二部分那很少的代码上，而且是dll，很容易免杀。
三、寻找白exe
　　这样的exe很多，但是他必须满足一下一些条件才行：
　　1.带有正规厂商的签名
　　2.依赖最小，不同的windows版本下都可以运行
　　3.Exe调用了自己的dll
　　4.尽可能的小点
四、编写黑dll
　　按照他原来dll的输出表构造编写一个伪造的dll, 在dll中的合适位置编写加载shellcode的代码，于是exe+dll共同组成了一个shellcode加载器。
五、编写shellcode
　　这里我的经验是不要手工用汇编写，这样的话一个完整的被控端太费时间，也太难维护，我的办法是把一个完整的dll转化成shellcode，所以被控端写成一个dll，然后三下五除二转成shellcode,很快很利索，然后多态引擎变形即可。
六、如何将三部分合成一个exe
　　仁者见仁，智者见智，关键是合成后，这个安装器别被杀，呵呵

反反复复，折折腾腾，成品如下，望爱好者共同研究:

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

图片1.png （31.62kb，62次下载）
图片2.png （49.05kb，40次下载）

收藏・38

免费・1

支持

最新回复 (33) 1 2 ▶
SinCoder 雪币： 11 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	SinCoder 2 楼木马主要还是要稳定只要被安装了就能持久这个才是关键当然首先就是要保证样本不被杀毒软件公司给捕获到 2013-9-11 11:36 0
wina 雪币： 5100 活跃值： (2556) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	wina 3 楼可以尝试 2013-9-11 12:00 0
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 4 楼此贴不错，，围观 2013-9-11 12:25 0
Anzun 雪币： 5 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 300 粉丝 1 关注私信	Anzun 5 楼找不到DLL转换成Shellcode工具。。 2013-9-11 13:03 0
bbzwj 雪币： 9 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	bbzwj 6 楼对于360和金山，这个已经过时了！在一个月以前，针对白+黑木马拦截的技术突破，360就可以忽略白文件直接定位拦截DLL，也就是说白文件没效果了。 2013-9-11 14:06 0
ydfivy 雪币： 579 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 357 粉丝 0 关注私信	ydfivy 7 楼那这意思是不是360和金山也就没有所谓的白名单了？ 2013-9-11 14:15 0
tojen 雪币： 17 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 17 粉丝 0 关注私信	tojen 8 楼金山和360确实无效了，不过对其他的还是很好用，所以这也是目前公开的较好的写马方式，应用面还很大 2013-9-11 15:46 0
地狱怪客雪币： 341 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 9 楼赞同。。。。。 2013-9-11 15:56 0
weruofeng 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	weruofeng 10 楼这位大牛，能否教我一下白加黑方法免杀呢？求你留下QQ，或者我QQ1342473512 2014-1-27 17:18 0
weruofeng 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	weruofeng 11 楼这位大牛，能否教我一下白加黑方法免杀呢？求你留下QQ，或者我QQ1342473512 。感激不尽哦 2014-1-27 17:19 0
SANCDAYE 雪币： 218 活跃值： (223) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 204 粉丝 7 关注私信	SANCDAYE 12 楼抓进去坐牢 2014-1-27 17:44 0
unios 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 15 粉丝 0 关注私信	unios 13 楼安全是一门技术，反安全是艺术呀。大家好好努力。 2014-1-27 18:11 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 14 楼 mark 2014-1-30 17:25 0
weibeat 雪币： 80 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	weibeat 15 楼听起来好叼的样子 2014-1-30 21:18 0
dalong 雪币： 222 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 1 关注私信	dalong 16 楼围观~~惊叹~~太牛了~~ 2014-2-27 12:04 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 17 楼花了半个月时间整了一个,今天测了一下,数字,金山杀毒+主防照爆不误... 2014-2-27 12:41 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 18 楼膜拜一下，怎么过呀.... 2014-2-27 12:53 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 19 楼呵呵,参考楼主的思路展开... 当然还有其他工作要做... 自己玩玩就行了,,这种东西传播不得不能低估数字,金山滴云云,虐国外杀软还是很爽的,支持国产.. 2014-2-27 12:59 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 20 楼过卡巴，和数字么..... 这个不过，就没啥意思，我来涨姿势，来咯... 2014-2-27 13:02 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 21 楼通杀卡巴斯基,小红伞,AVG,诺顿,赛门铁克EndPoint,EOD32,数字,金山,BitDefender,有兴趣也可以测其他杀软,上午已测试 2014-2-27 13:03 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 22 楼卤煮我来帮你测测.... 发我试试，我这边看能不能跑出来，给你报告 2014-2-27 13:05 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 23 楼玩玩就行了,样本云上去就没得完了... 嘿嘿你可以照楼主思路实现一下,效果确实不错... 2014-2-27 13:06 0
tojen 雪币： 17 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 17 粉丝 0 关注私信	tojen 24 楼卡巴有办法过咯，每种杀软都有特别之处，但是也有共同之处...，大处着眼，小处着手，方能柳暗花明啊... 2014-3-1 13:52 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 25 楼数字都不是问题,何况卡巴... Adobe 0day – CVE-2014-0502 APT样本攻击行为分析中提到的PlugX RAT值得借鉴 2014-3-1 13:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tojen

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
SinCoder 雪币： 11 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	SinCoder 2 楼木马主要还是要稳定只要被安装了就能持久这个才是关键当然首先就是要保证样本不被杀毒软件公司给捕获到 2013-9-11 11:36 0
wina 雪币： 5100 活跃值： (2556) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	wina 3 楼可以尝试 2013-9-11 12:00 0
kxzjchen 雪币： 190 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 470 粉丝 0 关注私信	kxzjchen 4 楼此贴不错，，围观 2013-9-11 12:25 0
Anzun 雪币： 5 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 300 粉丝 1 关注私信	Anzun 5 楼找不到DLL转换成Shellcode工具。。 2013-9-11 13:03 0
bbzwj 雪币： 9 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	bbzwj 6 楼对于360和金山，这个已经过时了！在一个月以前，针对白+黑木马拦截的技术突破，360就可以忽略白文件直接定位拦截DLL，也就是说白文件没效果了。 2013-9-11 14:06 0
ydfivy 雪币： 579 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 357 粉丝 0 关注私信	ydfivy 7 楼那这意思是不是360和金山也就没有所谓的白名单了？ 2013-9-11 14:15 0
tojen 雪币： 17 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 17 粉丝 0 关注私信	tojen 8 楼金山和360确实无效了，不过对其他的还是很好用，所以这也是目前公开的较好的写马方式，应用面还很大 2013-9-11 15:46 0
地狱怪客雪币： 341 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 9 楼赞同。。。。。 2013-9-11 15:56 0
weruofeng 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	weruofeng 10 楼这位大牛，能否教我一下白加黑方法免杀呢？求你留下QQ，或者我QQ1342473512 2014-1-27 17:18 0
weruofeng 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	weruofeng 11 楼这位大牛，能否教我一下白加黑方法免杀呢？求你留下QQ，或者我QQ1342473512 。感激不尽哦 2014-1-27 17:19 0
SANCDAYE 雪币： 218 活跃值： (223) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 204 粉丝 7 关注私信	SANCDAYE 12 楼抓进去坐牢 2014-1-27 17:44 0
unios 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 15 粉丝 0 关注私信	unios 13 楼安全是一门技术，反安全是艺术呀。大家好好努力。 2014-1-27 18:11 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 14 楼 mark 2014-1-30 17:25 0
weibeat 雪币： 80 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 59 粉丝 0 关注私信	weibeat 15 楼听起来好叼的样子 2014-1-30 21:18 0
dalong 雪币： 222 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 1 关注私信	dalong 16 楼围观~~惊叹~~太牛了~~ 2014-2-27 12:04 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 17 楼花了半个月时间整了一个,今天测了一下,数字,金山杀毒+主防照爆不误... 2014-2-27 12:41 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 18 楼膜拜一下，怎么过呀.... 2014-2-27 12:53 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 19 楼呵呵,参考楼主的思路展开... 当然还有其他工作要做... 自己玩玩就行了,,这种东西传播不得不能低估数字,金山滴云云,虐国外杀软还是很爽的,支持国产.. 2014-2-27 12:59 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 20 楼过卡巴，和数字么..... 这个不过，就没啥意思，我来涨姿势，来咯... 2014-2-27 13:02 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 21 楼通杀卡巴斯基,小红伞,AVG,诺顿,赛门铁克EndPoint,EOD32,数字,金山,BitDefender,有兴趣也可以测其他杀软,上午已测试 2014-2-27 13:03 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 22 楼卤煮我来帮你测测.... 发我试试，我这边看能不能跑出来，给你报告 2014-2-27 13:05 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 23 楼玩玩就行了,样本云上去就没得完了... 嘿嘿你可以照楼主思路实现一下,效果确实不错... 2014-2-27 13:06 0
tojen 雪币： 17 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 17 粉丝 0 关注私信	tojen 24 楼卡巴有办法过咯，每种杀软都有特别之处，但是也有共同之处...，大处着眼，小处着手，方能柳暗花明啊... 2014-3-1 13:52 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 25 楼数字都不是问题,何况卡巴... Adobe 0day – CVE-2014-0502 APT样本攻击行为分析中提到的PlugX RAT值得借鉴 2014-3-1 13:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复