首页
社区
课程
招聘
[原创]关于360云引擎+补充(2012首发黑瞳,2014更新)
发表于: 2014-4-26 00:03 18295

[原创]关于360云引擎+补充(2012首发黑瞳,2014更新)

2014-4-26 00:03
18295
2012年
我以前就看过一些关于那些所谓云云的定位360.什么文件名。
这些看来,对于现在的360来说,是没什么用,我自己也是试过的,
其实。只要掌握360定位规律就也是比较简单。
在:菜菜小盗的有个教程里,他说用新工具定位,不过新工具相信有很多朋友不了解他吧!我也试过,不过…那个新工具也只是能定某些木马,有些远控他分14,360就全杀,有款远孔,我在黑客组织里远控工具包里找的。c32载入,从E0到最后全部填充,360云查好像是QVM18.具体,我没在电脑,我不清楚了。
小盗里在定位云也说的比较清楚,版权,MD5之类的,最重要的,预处理还是比较重要的,很多教程都说可以先加壳在脱壳,这种方法,我个人是不提倡,对于那 些不会无特征的朋友,企不是难题?接着刚才,预处理,我的方法,可以给大家说,但是任何方法都有漏洞,我只是给大家一个思路。比如说,大家在定小马的时 候,加花绝对第一重要,类似的,MD5.版权,关于版权,最好找一些不出名但是正版软件的版权。360有时候最喜欢定他。大家都有虚拟机吧。在虚拟机里, 先断网定云,断网定他,他就是浮云。
然后在断网的情况下定QVM!这QVM比较重要。必须先修改,免了QVM才好在开网定云!至于保护定位。multiccl.这个玩意,360绝对的干扰。 如果有耐心的朋友,可以把区段填充了,在虚拟机定木马,主机杀。360的日志和隔离也要清理。用MYccl.定位,生成的数量也是个问题,大家自己斟酌, 至于填充,16进制00.90.FF.大家就别用了。除了特殊的,01到FE大家随意,只要能定。开始位置和结束位置,我是非常不愿意去动,开始位置是什 么,360就定什么。所以,不敢动这玩意。做360的免杀,必须耐心,用PETOOLS.填充区段在定位。
玩免杀都会重建输入表吧。重建输入表后在定位,c32载入木马,.dll填充在定位。再说个,我不提倡用新工具定360,做这个工具的帅哥别误会,我没其 他意思。这工具总体来说,还是比较好,只是定360,一次会出现N特征。所以,我们还是来点经典。我看过那个使用新工具,和用dll文件载入木马的教程, 呵呵,怎么说,大概是我笨吧,反正我是没辙!最后,大家可以用iexpress先压缩,再定位,定出来的,改原木马的特征周围位置!呵呵,别嫌我罗嗦,再 说个方法,C32载入,看见0区域,90填充,在定位。这些大概就是了,早上我就想到这些,以后有不足,再补充吧。

对于那个特征工具,看过一些教程里,
说360干扰myccl的进程,大家可以在C32里搜索myccl.修改搜索的第一个。
就OK.            这种方法勉勉强强吧。补充罢了。

原贴:关于360云引擎。黑瞳首发http://bbs.hackeyes.com/thread-14970-1-1.html

还要说下的,就是数字签名。
现在的360对数字签名毕竟敏感,所以,大家要玩360主动,就别加签名,

 
免得主动没过,云又给你杀了。
不加说不定可以提示上线

2014.3.16

时隔两年了,以前对于360认识比较模糊,说的也有些偏差,今天补充一点异常类的 

360云引擎的起制都知道吧,以前有个MD5白名单的现在当然也不管用了,不信大家可以自己去碰撞碰撞,云引擎现在最好的免杀方法就是对木马的入口位置修改源代以及对函数部分进行修改,入口函数是个关键,大家可以去百度百度N多个大牛发的源码修改入口的教程,我这里不详细说明

定位问题大家应该也是个麻烦,说起来我对360的定位也是比较头疼的,网上流传什么什么定位,抗干扰,说起来都是蒙人的,相信我!(不信的话也没办法,右上角叉叉点击吧)

在12年的时候,定位还是比较容易,小七那款定位就能准确定出木马在云库的特征,但是现在不行了,360好像是改变了机制,对目录木马比较敏感

那么,怎么做好云引擎的免杀呢,我个人对于逆向工程还是比较熟悉,所以本人经常用的方法,除了对于木马源代码的入口函数和输入表函数的修改,就是用加壳的方法,修改壳的源码已经对壳的代码进行反汇编修改


原帖地址:http://www.myth007.com/442.html

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (36)
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
2
还在研究这个?
2014-4-26 00:15
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
3
时隔10年,我依然用扭曲PE格式+自定义内存loader的方式处理免杀。

杀毒软件扫描病毒首先要根据一个重要的事情是PE文件,如果源文件不是PE,那么它的一切静态扫描和动态扫描都是没用。

PE扭曲后,写一个加载器来加载,然后加载器本身使用的API尽量不敏感,如加载器使用的API,其中有LoadLibrary这种敏感词,怎么办呢?其实很简单,自己写个搜索导出表的代码(汇编代码尽量做好免杀就好),然后从FS:[0]里PEB里撸出Kernel32(这段代码需要二进制扭曲,什么是二进制扭曲,就是把机器码拆分成add [reg],x;or [reg],y的形式来填写机器码),然后就没啥了,内存加载运行PE这种东西毕竟被撸烂了,至于怎么扭曲PE结构,再还原PE结构内存加载,这些都是个人研究了。
2014-4-26 00:27
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
4
恩,偶差不多也这么搞...   免杀技术有待革新呀
2014-4-26 00:33
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
5
如何革新呢~
这是个问题,自写VM,二进制扭曲加密,这些东西都撸烂了~
2014-4-26 00:36
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
6
为了免杀不得已让代码膨胀太蛋疼了
2014-4-26 00:41
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
7
好在只免杀加载器就行了~
2014-4-26 00:43
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
8
恩...
2014-4-26 00:45
0
雪    币: 49
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
有深度啊!
2014-4-26 03:39
0
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
特征免杀早不是主流了,应该想想办法过主动+自启动,过云扫描自启动
表面特征,都是浮云
2014-4-26 06:55
0
雪    币: 341
活跃值: (138)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
11
学习了。。。
上传的附件:
2014-4-26 10:08
0
雪    币: 124
活跃值: (469)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
很有深度,学习了
2014-4-26 10:52
0
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
这个貌似过不了主防吧
2014-5-8 20:46
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
14
0day突破~
2014-5-8 21:39
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
0day难找啊,楼上有什么好的思路么?
2014-5-9 14:16
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
顺便问一句,各位见过的好马,是汇编还是C/C++ 的多一些???
2014-5-9 14:22
0
雪    币: 2
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
目前一直都采用内存解密进行load 但是就卡在了自启动上
于是想找个新的自启动的法子 但看到0day 我还是匿了吧
2014-5-22 04:36
0
雪    币: 14
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
我发现,看V大的帖子比看书更有用
2014-5-27 23:09
0
雪    币: 90
活跃值: (82)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
19
这个,在编写上我看与外壳很类似,只是把加密的代码转移到了文件外部成为单独的一个文件。
2014-6-8 11:23
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
20
你的理解没有错,但首先要保证Loader免杀
2014-6-8 11:30
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
21
现在大部分的书都没有干货
2014-6-8 11:32
0
雪    币: 90
活跃值: (82)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
22
loader的免杀估计也挺麻烦。怎么也得上千行代码吧。一个自定义的GetProcAddress就差不多上百行了。。。二进制扭曲是个力气活。
是不是把loader的大部分代码VM化,那么免杀只要处理VM虚拟机的部分就可以了?
2014-6-8 11:56
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
23
方法有多种,老V说的只是其中一种
2014-6-8 12:04
0
雪    币: 90
活跃值: (82)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
24
他说的是VM虚拟化和二进制扭曲,阁下还有什么大杀器能不能透露一二
2014-6-8 12:14
0
雪    币: 90
活跃值: (82)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
25
我倒是遇到过loader的样本
2014-6-8 12:51
0
游客
登录 | 注册 方可回帖
返回
//