-
-
[原创]白加黑木马开发思路
-
发表于: 2013-9-11 11:26
-
一、什么是白加黑
白就是此文件在杀软的白名单中,不会被杀软查杀;黑就是我们的恶意代码,由自己编写。通常白黑共同组成木马的被控端,最大限度的逃避杀软查杀,增强抗杀能力,而且方便免杀处理。一般情况下白为exe(带有签名),黑为dll或者其他,当然黑可以分成多部分。
二、白加黑木马的结构
1.Exe(白) ---load---> dll(黑)
2.Exe(白) ---load---> dll(黑)---load---> 恶意代码
为了方面免杀,我的建议是选择第二种,即被控端真正由三部分组成,第二部分中的代码要少,把核心都组织到第三部分,最好做成shellcode,在第二部分中call一下即可,这样做有个好处就是:第一部分不可能被杀,第三部分经过多态变形处理后,每次不一样,通常也不杀,然后免杀的主要任务将集中到第二部分那很少的代码上,而且是dll,很容易免杀。
三、寻找白exe
这样的exe很多,但是他必须满足一下一些条件才行:
1.带有正规厂商的签名
2.依赖最小,不同的windows版本下都可以运行
3.Exe调用了自己的dll
4.尽可能的小点
四、编写黑dll
按照他原来dll的输出表构造编写一个伪造的dll, 在dll中的合适位置编写加载shellcode的代码,于是exe+dll共同组成了一个shellcode加载器。
五、编写shellcode
这里我的经验是不要手工用汇编写,这样的话一个完整的被控端太费时间,也太难维护,我的办法是把一个完整的dll转化成shellcode,所以被控端写成一个dll,然后三下五除二转成shellcode,很快很利索,然后多态引擎变形即可。
六、如何将三部分合成一个exe
仁者见仁,智者见智,关键是合成后,这个安装器别被杀,呵呵
反反复复,折折腾腾,成品如下,望爱好者共同研究:
白就是此文件在杀软的白名单中,不会被杀软查杀;黑就是我们的恶意代码,由自己编写。通常白黑共同组成木马的被控端,最大限度的逃避杀软查杀,增强抗杀能力,而且方便免杀处理。一般情况下白为exe(带有签名),黑为dll或者其他,当然黑可以分成多部分。
二、白加黑木马的结构
1.Exe(白) ---load---> dll(黑)
2.Exe(白) ---load---> dll(黑)---load---> 恶意代码
为了方面免杀,我的建议是选择第二种,即被控端真正由三部分组成,第二部分中的代码要少,把核心都组织到第三部分,最好做成shellcode,在第二部分中call一下即可,这样做有个好处就是:第一部分不可能被杀,第三部分经过多态变形处理后,每次不一样,通常也不杀,然后免杀的主要任务将集中到第二部分那很少的代码上,而且是dll,很容易免杀。
三、寻找白exe
这样的exe很多,但是他必须满足一下一些条件才行:
1.带有正规厂商的签名
2.依赖最小,不同的windows版本下都可以运行
3.Exe调用了自己的dll
4.尽可能的小点
四、编写黑dll
按照他原来dll的输出表构造编写一个伪造的dll, 在dll中的合适位置编写加载shellcode的代码,于是exe+dll共同组成了一个shellcode加载器。
五、编写shellcode
这里我的经验是不要手工用汇编写,这样的话一个完整的被控端太费时间,也太难维护,我的办法是把一个完整的dll转化成shellcode,所以被控端写成一个dll,然后三下五除二转成shellcode,很快很利索,然后多态引擎变形即可。
六、如何将三部分合成一个exe
仁者见仁,智者见智,关键是合成后,这个安装器别被杀,呵呵
反反复复,折折腾腾,成品如下,望爱好者共同研究:
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
找不到DLL转换成Shellcode工具。。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
花了半个月时间整了一个,今天测了一下,数字,金山杀毒+主防 照爆不误...
|
|
|
膜拜一下,怎么过呀....
|
|
|
呵呵,参考楼主的思路展开... 当然还有其他工作要做... 自己玩玩就行了,
 ,这种东西传播不得 不能低估数字,金山滴云云,虐国外杀软还是很爽的,支持国产.. |
|
|
|
|
|
|
|
|
|
|
|
玩玩就行了,样本云上去就没得完了...
嘿嘿你可以照楼主思路实现一下,效果确实不错... |
|
|
|
|
|
数字都不是问题,何况卡巴...
Adobe 0day – CVE-2014-0502 APT样本攻击行为分析中提到的PlugX RAT值得借鉴
|
