关于PCSHARE的一点想法,,请高手赐教
前提:可以免杀。一、生成服务端
上线方式:
使用动态域名的IP更新,我用花生壳,申请一个免费的动态域名:*****.vicp.net。并下载花生壳客户端,时刻更新IP
服务端配置IP地址(端口)直接这个动态域名。端口是自己定义的端口,其它选项默认。能找钩的全部打钩。生成作免杀。
二、上传木马服务端到空间。
由于我没有免费的空间,这是这样想的:先入侵一台服务器(可以通过旁注)上传EXE文件到这个空间中,并记住地址(可以自己下载一下看看)。
三、生成网马:利用REALPLAY 或者迅雷的0DAY漏洞(1期有介绍),可以将这个网马改成JS或者CSS文件。(1期小本本有介绍),并将这个网马加入你入侵的空间的首页,(如果运气好的话,得到一个WEBSHELL,就可以得到该服务器下所有的主页的权限,每一个主页都加进去,)
三、本机设置。
我的上网方式是长宽+VPN+路由器,我在路由器里设置端口映射。(怎么映射,不会可以看看上兴的帮助文档)
四、姜太公钩鱼。等肉鸡上线吧。
想法到此完结,个人认为想法很美,就是不知道行不,请高手赐教。
另外,求NOD32的表面特征码,我免杀过了,瑞星、卡巴、毒霸、没有NOD32的安装程序,请高手帮忙
怎么没有人回答?
怎么没有人回答?怎么没有人回答?怎么没有人回答? [url]http://dl.pconline.com.cn/html_2/1/66/id=10653&pn=0.html[/url]下载NOD32注册码
Username: EAV-00457799
Password: jb5vctx85j
Username: EAV-00318044
Password: uj856h3j5s
Username: EAV-00318051
Password: srfxntxtxp
Username: EAV-01756538
Password: cw5tvsk4ue
Username: EAV-00591473
Password: fp58sahk48
Username: EAV-00591579
Password: jtsdcdc6rv
Username: EAV-00591577
Password: mmkju4euvw
Username: EAV-00593339
Password: s2kbh487vn
Username: EAV-00591559
Password: rnkewfvh6e
Username: EAV-01638946
Password: jm2r7snrf7
网上找的定位NOD32特征码的资料
文章作者:huanjue2
文章来源:暗组技术论坛(forum.darkst.com)
如果你做免杀一般喜欢加壳的,那你不用往下看了。如果你没有定位过NOD32文件特征
码的你也不用看下去了。如果你定位过NOD32文件特征码的,但是定位结果是输出表或者其
他地方,且稍微一修改就免杀成功的,那更没必要看下去了。这里讲的是NOD32输入表免杀,
如果你曾几何时定位过NOD32特征码,定完一看是输入表,而且是偏移到哪里它还是一样追
杀到哪里的、至今困惑的、那么请往下看:
(这里叙述本人当时免杀的一些过程)
首先我选择了免杀经典样品--原版黑防灰鸽子未修改版,生成一个Server_Setup.exe
用NOD32扫描一下,肯定是要杀的 - Win32/Hupigon 木马,普通启发和高级启发都是打开
的,然后我先把高级启发关掉,开始定位... 因为这样可以减少后面开了高级启发的特征码
[img]http://forum.darkst.com/attachment/Day_070830/28_4312_9c34de1a1565023.jpg[/img]
很顺利的定位出来[特征] 000A1565_00000001 由于不是定位输入表,很轻松的修改完
特征码。
[img]http://forum.darkst.com/attachment/Day_070830/28_4312_1b540f76257375b.jpg[/img]
再次扫描,免杀了。但是当我开启高级启发再扫描的时候还是被杀Win32/Hupigon 木马
变种(废话)...没办法,老样子,重新打开高级启发再次定位.... 时间逝去了一大堆,终于定
位完成,一看结果居然多达十几二十多处,全是输入表函数,具体地址我没记下来,反正很
多... 没办法只有硬着头皮改,先试着偏移一处,其他的填充掉,保存,还是被杀!早料到了....
怎么办?网上找资料... 再继续,先加壳再脱壳?... 无效。重建输入表?... 被杀。
网上根本没资料,很多文章是说了等于没说。后来我把输入表整体移动了一个位置,保存后,
虽然不能运行了(原因不知),但还是被NOD32查杀。
在我彻底绝望的时候,我尝试了一种最原始的免杀方法,一半一半法,在不断的测试中
我发现NOD32不只在输入表里有特征码,而是在代码段也有,而且在某个位置填充掉后,在
根本没修改输入表函数的情况下就免杀了,当然程序被我填充坏掉了,不能运行。但是有一点可
以肯定的是不修改输入表函数也是能够免杀NOD32。有人可能想到了那么就只定位CODE段不
就出来了么?当然不会有那么简单,不然NOD32也不会这么麻烦了。在我后来测试中又发现填
充的时候从前面往后面定的时候能找出特征码位置,但是从后往前就无法找出来了。比如A和B,
把A填充掉、留下B就免杀了,但是把B填充掉、留下A还是会被查杀,所以我得出一个结论必须
得从前往后定位,因为通常的定位工具都是从末尾往开头填充,所以我们都只能顺着NOD32的
方向定到输入表上。Multiccl我没常用,不知道有没有这功能,而MYCCL直接选择反向就可以了.
[img]http://forum.darkst.com/attachment/Day_070830/28_4312_e3af9455befc050.jpg[/img] [quote]原帖由 [i]htr616695783[/i] 于 2008-2-7 13:04 发表 [url=http://bbs.hackerxfiles.net/redirect.php?goto=findpost&pid=685290&ptid=93135][img]http://bbs.hackerxfiles.net/images/common/back.gif[/img][/url]
http://dl.pconline.com.cn/html_2/1/66/id=10653&pn=0.html下载NOD32
注册码
Username: EAV-00457799
Password: jb5vctx85j
Username: EAV-00318044
Password: uj856h3j5s
Username: EAV-00318051
Password: srfx ... [/quote]
谢谢你的思路。。
页:
[1]
