[讨论]木马加壳与采用隐写的方法免杀那个方法更好？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]木马加壳与采用隐写的方法免杀那个方法更好？

发表于: 2014-12-11 09:27 14504

[讨论]木马加壳与采用隐写的方法免杀那个方法更好？

niadye

2014-12-11 09:27

14504

木马加壳一般都是为了免杀，那用隐写术来取代加壳可以吗？
我最近做了一个小的反弹木马，可以获得用户的反弹cmdshell，采用隐写术而且已经过了免杀。感觉隐写术取代加壳是个很好地方法，现在国内和国外有这方面的研究嘛？

我现在做得一个实验，我修改了notepad++ 的源码，将恶意代码的提取、运行放入了源码之中，重新编译后，执行。我在另一台机器监控电脑也没有被杀毒软件检测出来。

[招生]系统0day安全班，企业级设备固件漏洞挖掘，Linux平台漏洞挖掘！

上传的附件：

QQ图片20141211141746.jpg （20.52kb，43次下载）
QQ图片20141211141757.jpg （43.31kb，12次下载）

收藏・0

免费・0

支持

最新回复 (23)
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 2 楼请问下问隐写术是怎么个回事？？写到图片里？怎么执行？ 2014-12-11 09:46 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 3 楼把一段shellcode放到图片在提取出shellcode执行 2014-12-11 10:13 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 62 关注私信	落笔飞花 1 4 楼 ~~~玩坏了都。。。现在都是云Shellcode。。。。随时云到目标端。。。。而且也不咋好用。 2014-12-11 10:17 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 5 楼隐写术现在没有人使用嘛？ http://www.secureworks.com/cyber-threat-intelligence/threats/malware-analysis-of-the-lurk-downloader/ 戴尔工作研究室恶意代码也是利用了这个方法呀 2014-12-11 10:20 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 6 楼好吧。。。数据文件基本上本来就不杀的，shellcode随便加密处理下放哪都可以提取啊这跟加壳根本不是一个概念 2014-12-11 10:33 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 7 楼把PE文件隐写到视频或者图片中也是可以的呀，我也在尝试把DLL嵌入到图片中，然后采用内存映射的方法映射到内存中，这样也是可以过免杀的。木马加壳的目的不就是过杀软这关嘛 2014-12-11 10:41 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 8 楼木马加壳处理后是个可执行文件隐写处理之后是个数据文件，还是需要一个执行体来加载这些被隐写的数据，只是把恶意代码跟主要的执行体分开了，你把pe文件（或者包含恶意代码的shellcode）隐写进去总归有个程序来把它提取出来执行的吧你这种方式就不用讨论隐写了，直接把dll异或一下作为一个.dat文件，执行体去读取dat异或解密然后内存加载执行就是了，.dat文件百分百不杀 2014-12-11 10:47 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 9 楼是的是需要一段提取代码来提取恶意代码信息，也需要一段执行体来执行提出出来的恶意代码。这是由于隐写的原理导致的，也没办法改变。我用反弹shellcode做测试的时候，直接定义shellcode，并执行，一般会被杀软检测出来，但是我将shellcode放到图片中，在提取，就不会被杀。我的想法是不是可以将木马的网络功能加载到图片中，利用网络连接的shellcode，来执行，首先获取到一个cmdshell的dos 然后在进行提权种植后门程序 2014-12-11 10:55 0
yy大雄雪币： 183 活跃值： (1289) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 2 关注私信	yy大雄 10 楼 LZ啊，你得首先把数据和可执行文件分开，shellcode就是数据，随便放到哪里杀软都不会杀，哪怕你把数据放到另外一个服务器上，运行的时候下载下来。 2014-12-11 11:19 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 11 楼这么高深？落伍了 2014-12-11 11:45 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 12 楼好的我也是看到戴尔实验室的那个报告想到的。http://www.secureworks.com/cyber-threat-intelligence/threats/malware-analysis-of-the-lurk-downloader 可执行代码可以嵌入到图像中嘛？比如PE文件或者可执行的二进制序列，这样算恶意代码的隐写嘛 2014-12-11 12:21 0
wonderzdh 雪币： 61 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 13 楼动态变形更吊 2014-12-11 13:09 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 14 楼动态变形是shellcode在运行时在变形嘛？ 2014-12-11 13:39 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 62 关注私信	落笔飞花 1 15 楼你可以看做自己加密自己解密运行自己解密出来的代码.... 2014-12-11 13:42 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 16 楼 [QUOTE=落笔飞花;1337260]你可以看做自己加密自己解密运行自己解密出来的代码....[/Q 明白了我是希望把隐写技术应用到木马隐藏之中呀感觉不可行呀 2014-12-15 09:22 0
sforever 雪币： 2 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	sforever 17 楼如何启动执行才是问题，难道对方打开图片就执行吗？ 2014-12-31 08:54 0
自由万岁雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	自由万岁 18 楼菜鸟的疑问：shellcode在内存中解密执行的时候难道没人杀吗？ 2015-3-3 17:48 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 19 楼不会杀的或者你开辟一线程虚拟内存给shellcode执行就可以了 2015-3-31 09:09 0
flponline 雪币： 203 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	flponline 20 楼重要的还是如何启动执行体. 2015-4-13 09:02 0
wgejydy 雪币： 70 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 67 粉丝 2 关注私信	wgejydy 1 21 楼搞得那么炫酷，隐写术，都谁发明的名词 2015-4-13 09:44 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 22 楼能否公布技术细节或者发个demo出来瞅瞅！ 2015-6-26 17:21 0
liushuiren 雪币： 239 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	liushuiren 23 楼只要在内存中一切皆浮云 2015-6-27 23:47 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 24 楼说多了没用，如果楼主真正有共享精神，那么就做个demo出来，而不是发几张图片在那儿！恶意代码做成shellcode.在加入到图片中，然后在提取，关键额关键是提取！！！！ 2015-7-13 17:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

niadye

发帖

回帖

RANK

关注

私信

他的文章

[讨论]木马加壳与采用隐写的方法免杀那个方法更好？ 14505

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 2 楼请问下问隐写术是怎么个回事？？写到图片里？怎么执行？ 2014-12-11 09:46 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 3 楼把一段shellcode放到图片在提取出shellcode执行 2014-12-11 10:13 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 62 关注私信	落笔飞花 1 4 楼 ~~~玩坏了都。。。现在都是云Shellcode。。。。随时云到目标端。。。。而且也不咋好用。 2014-12-11 10:17 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 5 楼隐写术现在没有人使用嘛？ http://www.secureworks.com/cyber-threat-intelligence/threats/malware-analysis-of-the-lurk-downloader/ 戴尔工作研究室恶意代码也是利用了这个方法呀 2014-12-11 10:20 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 6 楼好吧。。。数据文件基本上本来就不杀的，shellcode随便加密处理下放哪都可以提取啊这跟加壳根本不是一个概念 2014-12-11 10:33 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 7 楼把PE文件隐写到视频或者图片中也是可以的呀，我也在尝试把DLL嵌入到图片中，然后采用内存映射的方法映射到内存中，这样也是可以过免杀的。木马加壳的目的不就是过杀软这关嘛 2014-12-11 10:41 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 8 楼木马加壳处理后是个可执行文件隐写处理之后是个数据文件，还是需要一个执行体来加载这些被隐写的数据，只是把恶意代码跟主要的执行体分开了，你把pe文件（或者包含恶意代码的shellcode）隐写进去总归有个程序来把它提取出来执行的吧你这种方式就不用讨论隐写了，直接把dll异或一下作为一个.dat文件，执行体去读取dat异或解密然后内存加载执行就是了，.dat文件百分百不杀 2014-12-11 10:47 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 9 楼是的是需要一段提取代码来提取恶意代码信息，也需要一段执行体来执行提出出来的恶意代码。这是由于隐写的原理导致的，也没办法改变。我用反弹shellcode做测试的时候，直接定义shellcode，并执行，一般会被杀软检测出来，但是我将shellcode放到图片中，在提取，就不会被杀。我的想法是不是可以将木马的网络功能加载到图片中，利用网络连接的shellcode，来执行，首先获取到一个cmdshell的dos 然后在进行提权种植后门程序 2014-12-11 10:55 0
yy大雄雪币： 183 活跃值： (1289) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 2 关注私信	yy大雄 10 楼 LZ啊，你得首先把数据和可执行文件分开，shellcode就是数据，随便放到哪里杀软都不会杀，哪怕你把数据放到另外一个服务器上，运行的时候下载下来。 2014-12-11 11:19 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 11 楼这么高深？落伍了 2014-12-11 11:45 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 12 楼好的我也是看到戴尔实验室的那个报告想到的。http://www.secureworks.com/cyber-threat-intelligence/threats/malware-analysis-of-the-lurk-downloader 可执行代码可以嵌入到图像中嘛？比如PE文件或者可执行的二进制序列，这样算恶意代码的隐写嘛 2014-12-11 12:21 0
wonderzdh 雪币： 61 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 13 楼动态变形更吊 2014-12-11 13:09 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 14 楼动态变形是shellcode在运行时在变形嘛？ 2014-12-11 13:39 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 62 关注私信	落笔飞花 1 15 楼你可以看做自己加密自己解密运行自己解密出来的代码.... 2014-12-11 13:42 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 16 楼 [QUOTE=落笔飞花;1337260]你可以看做自己加密自己解密运行自己解密出来的代码....[/Q 明白了我是希望把隐写技术应用到木马隐藏之中呀感觉不可行呀 2014-12-15 09:22 0
sforever 雪币： 2 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	sforever 17 楼如何启动执行才是问题，难道对方打开图片就执行吗？ 2014-12-31 08:54 0
自由万岁雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	自由万岁 18 楼菜鸟的疑问：shellcode在内存中解密执行的时候难道没人杀吗？ 2015-3-3 17:48 0
niadye 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	niadye 19 楼不会杀的或者你开辟一线程虚拟内存给shellcode执行就可以了 2015-3-31 09:09 0
flponline 雪币： 203 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	flponline 20 楼重要的还是如何启动执行体. 2015-4-13 09:02 0
wgejydy 雪币： 70 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 67 粉丝 2 关注私信	wgejydy 1 21 楼搞得那么炫酷，隐写术，都谁发明的名词 2015-4-13 09:44 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 22 楼能否公布技术细节或者发个demo出来瞅瞅！ 2015-6-26 17:21 0
liushuiren 雪币： 239 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	liushuiren 23 楼只要在内存中一切皆浮云 2015-6-27 23:47 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 24 楼说多了没用，如果楼主真正有共享精神，那么就做个demo出来，而不是发几张图片在那儿！恶意代码做成shellcode.在加入到图片中，然后在提取，关键额关键是提取！！！！ 2015-7-13 17:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复