首页
论坛
课程
招聘
[原创]三线程防杀2测试(更新)原理已发布
2011-4-2 11:29 10774

[原创]三线程防杀2测试(更新)原理已发布

2011-4-2 11:29
10774
因为上次发了篇文章,<<关于三线程防杀的一些思想和VC代码>>,有很多人说特别简单,确实我也知道,自己写的是比较基础的一些东西,现阶段自己也写不了很高深的东西.
(上次文章写的较多,为方便大家查看,今再开一贴)

原文章地址:http://bbs.pediy.com/showthread.php?t=131537

    写文章有2个目的:其一,给自己前阶段的学习作一个总结,以后回想起来也知道这段时间自己在做什么,不至于是空白的;其二,论坛上也还有很多像我一样的菜鸟朋友,文章也算是起一个交流作用吧.

    今天再发一帖,我把上次发的文章的代码重写了一遍,修改了很多地方(主要部分没有改变),上次源码给了,软件没有作任何处理,写出来就发出来了,所以有点基础的朋友都可以逆向我的软件了.

   本来今天发的这款软件只能算是个半成品,因为这几天上课的时间较紧,也没什么时间写,清明想回家,所以先发一个出来,大家先看一下,我回家之后把没加上的代码补上,这件事就算完了.源码清明后补全程序后一齐放出.(欢迎大家跟帖指出软件存在的缺陷和漏洞)

声明:
      本程序没有任何恶意,由于时间关系,没有做杀毒软件免杀,本人以看雪ID担保,程序没有加入任何恶意代码,源码等清明我到学校后再放出,有能力的同学可以逆向一下我的程序,写的很烂,就不多说了,为了测试的效果,请关闭杀毒软件或者在虚拟机里面测试


  今天到学校了,把没有写完的东西写完吧,写完后就全心全意的去写搜索引擎吧,这个是我同学提出来的,我觉得我们合作可以写出来,可能没有那么完美,算是人生的一种经历吧,毕业后找工作也可以拿出个像样的东西吧....

  先说一下这个软件工作机制吧,我没有想过要写的多复杂,多具有杀伤力,这个不是我追求的,毕竟我不想从事木马或者是病毒的写作.虽然我以前也做过免杀,控制过别人的电脑,我觉得那一点也不光明,别人问你在做什么,真的说不出口,虽然心里面不是这么阴暗的,这样就好像别人都觉得你心里是阴暗的了,虽然同学看我操控别人的电脑,别人却浑然不知的时候,同学都说我很牛怎么的,但我总觉得那不是在夸我,我反到觉得那是在骂我.仿佛我和他们隔了什么东西似的,很难交心,虽然我那时候只是追求技术上面的提高...
      但那都是以前的事情了,可以说我是由木马开始想到学习编程的,那时候我的梦想就是自己写一款木马,我觉得那是很牛的事情.可现在我不这么想了,学的东西多了,就越怕自己做出什么事出来,看了<<疯狂的程序员>>,觉得绝影的经历真的和我很像,我仿佛能看到,若干年后的我自己是否就会和绝影一样.钱这个东西很多人都扛不住的.我不知道我自己能不能扛住.我努力的去学法律,学着保护自己.也学着不要做违法的事情,想着牢里的生活,让人后怕.
     可能很多人都认为写病毒或者木马的人都是心里面很阴暗的人,其实我不这样认为.技术都是两面的,有矛就盾,有攻就有防,就看你怎么把握了.我以后就想去杀毒软件公司,其实挺想去360的,以前就觉得木马才是很精巧的,是很有水平的人才能够做得出来的,所以和这样的人或者软件斗争,技术自然提高很快.  以前360没有上市的时候就想去,现在上市了,恐怕招人的条件就更高了,自己太业余,恐怕就难登大堂了.
      现在只有继续努力的学习,力争达到目标. 好[了,废话扯多了!
       说说软件没有加的那个功能吧,代码不给了,有一定的危险性(具体参见我<U盘偷窥者>里面的查找文件按的函数),原本弄一个LPK作为传播我们的木马的,姑且就叫它木马吧, LPK里面就实现一个功能,DllMain函数里面  判读我们进程里面有没有Main.exe 如果有的话,就什么都不做,没有的话就从我们的源头上面复制文件到C:\windows 下面然后执行Main.exe  下面给出我定义的几个宏,是关于文件存放的问题的
#define Title "Main.exe"  //进程中显示的主程序                                                 1
#define MainFile "C:\\Windows\\Main.exe" //主程序放的地方                              2
#define ModuleName "mctxprx.dll"         //我们注入的程序DLL                           3 
#define ModulePath "C:\\WINDOWS\\system32\\mctxprx.dll" //DLL放的地方      4

#define SourseDLLPath "C:\\WINDOWS\\system32\\drivers\\irenumtex.sys"//真正的DLL5放的地方(源头)
#define SourseMainPath  "C:\\WINDOWS\\system32\\drivers\\tcpt.sys"  //真正主程序放的6源头
//备份的源头,防止上面的文件被删除
#define BackDLLPath  "C:\\WINDOWS\\WinSxS\\Policies\\i386.policy"//备份的源头7
#define BackMainPath "C:\\WINDOWS\\WinSxS\\Manifests\\x86_Microsof.dll"      8


看了这个大家就该明白了吧,我以不同的名字把我们的Main.exe和KernelSoft.DLL存放在了多个地方,就是防止一个被杀死,就整个都完了. 我标了一下号,5,6 ,7,8,他们有专门的线程监视并且只要一个不存在,就会立马拷贝一个过去,保证这4个文件都完好.

      Main.exe 负责注入KernelSoft.dll到explorer.exe, 负责监视并写入注册表的开机启动,负责传播我们的LPk文件到没一个文件夹中,并设置只读,系统,隐藏文件属性,并修改文件时间(这个后来我删掉了,方便大家查找文件)

    KernelSoft.dll的作用是监视Main.exe 并注入KernelSoft.dll 到winlogon.exe中.这里本可以用2个dLL来分别注入到explorer.exe和Winlogon.exe中的.为了方便就写一个了.

  好了,思路就是这样了,代码我就不贴了,主要的代码参见我上次发表的文章(三线程防杀)
   http://bbs.pediy.com/showthread.php?t=131537

  其他的思路我也已经说了,你自己也可以尝试别的想法.要源码的可以找我.Email看过我文章的人都该知道的.

   也写了这么多了,最近时间不是很多,就不再详细的写了.另外,本人长江大学大三了学生,想在暑假找份工作实习(关于编程开发方面或者是反病毒方面的),最好是能学习到很多东西的,本人学习能力很强,能吃苦,自学能力特强,地点最好是离武汉近点的地方.

   另外,附上本人的特长吧:
    1. 擅长 C,C++语言,会用VC++6.0在Win32平台下开发,没有什么工作经验,业余喜欢写点小程序.
     
    2. 熟悉8086汇编和Win32下的汇编,能用OD调试分析程序,能破解简单的程序.

    3. 熟悉单片机原理,能够为单片机开发出相应的程序

    4. 常用开发环境  VC++6.0,C++builder,RadAsm, Keil7.0(单片机)


   如果您有合适的机会,那么请联系我.    谢谢!

                                                                作者:liuqiangni       
                                                                Email:181809575@qq.com

2022 KCTF春季赛【最佳人气奖】火热评选中!快来投票吧~

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (18)
雪    币: 327
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
ghban 活跃值 2011-4-2 12:02
2
0
先占个位置,感谢LZ
雪    币: 677
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hezhang 活跃值 2011-4-2 12:19
3
0
请关闭杀毒软件或者在虚拟机里面测试
雪    币: 27
活跃值: 活跃值 (35)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
liuqiangni 活跃值 2 2011-4-2 12:38
4
0
怎么,这个个有什么问题呀,你可以本机测试,注入的时候杀软肯定报毒,这点不用怀疑,但程序本身是没有恶意的...杀不杀得掉,就看你的本事了,祝你好运!放心,杀不掉我可以帮你解决,不用担心!
雪    币: 85
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
狂起来 活跃值 2011-4-2 12:40
5
0
哦,还不是源码
雪    币: 0
活跃值: 活跃值 (379)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
网络游侠 活跃值 2011-4-2 14:27
6
0
我都看到源码了。
雪    币: 217
活跃值: 活跃值 (243)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dayang 活跃值 2011-4-2 14:41
7
0
关闭杀软就没得搞了,不用测试了
雪    币: 0
活跃值: 活跃值 (379)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
网络游侠 活跃值 2011-4-2 14:53
8
0
逆了下你6个子函数,发现基本没做函数功能自身保护。

简单给你DLL 和 EXE 加了一段shellcode运行我的dll SEH HOOK CreateThread,你的线程守护又失效了。

给你点建议

在dllMain这个地方,不要马上去创建功能函数线程的,多加些检测。

还有CopyFileA,OpenProcess ,SetFileAttributesA 最好自己实现,不要直接去调API。
雪    币: 677
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hezhang 活跃值 2011-4-2 17:34
9
0
要是病毒都是在无杀软的环境下 一些人拿脚都能写病毒了
雪    币: 27
活跃值: 活跃值 (35)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
liuqiangni 活跃值 2 2011-4-4 19:11
10
0
多谢指点,这个旨在交流,我还有一个功能没有放出来,不过是来源于我电脑以前感染的病毒.上次写代码的时候,时间有点紧,我主要想的是如何做到逻辑上面的紧密,至于检测我倒是没有想,本来也没有想将它写成一个完整功能的病毒或木马的.
雪    币: 27
活跃值: 活跃值 (35)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
liuqiangni 活跃值 2 2011-4-4 19:34
11
0
刚开始这个只是因为三线程而延伸出来的,没有准备把它写成病毒,所以很多东西都没有.要是病毒附加在外挂上面呢,杀软认为有毒,而你想用外挂,你关掉杀软么?还是不关?
雪    币: 0
活跃值: 活跃值 (379)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
网络游侠 活跃值 2011-4-4 19:45
12
0
客气,指点谈不上,只是想让你写的更佳完美些。
雪    币: 409
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
fairynull 活跃值 2011-4-4 20:46
13
0
果然厉害,搞得我用dos才删除掉。
雪    币: 27
活跃值: 活跃值 (35)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
liuqiangni 活跃值 2 2011-4-4 21:15
14
0
呵呵,我只是把逻辑层面上的东西写完了,一环套一环.我不想写的太复杂,很多东西能省掉就省掉了
雪    币: 27
活跃值: 活跃值 (35)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
liuqiangni 活跃值 2 2011-4-4 21:22
15
0
我的DLL文件全部是明码给出的,你逆向下我的Main.exe 看看我做了点什么...呵呵
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
网上勇士 活跃值 2011-4-5 23:20
16
0
很好,很强,支持
雪    币: 28
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
jackleebug 活跃值 1 2011-4-9 17:53
17
0
LZ 我试了你的这个程序  你监控注册表的时候只监控了注册表项Main.exe 不被删除 但是我把Main.exe的键值改了 c:\windows\main.exe 我改成 c:\windows\mainaaa.exe  然后重启后 你的程序就没动静了 我就可以删除它了  但是你的DLL 我没找到拷到什么地方去了 我看了下c:\windows\system32下 用修改时间排序  有个mc开头的DLL  我就删了 不知道是不是这个  。
雪    币: 27
活跃值: 活跃值 (35)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
liuqiangni 活跃值 2 2011-4-9 21:10
18
0
我没有设置文件时间,所以你按时间来排是正确的,我如果设置文件时间了,这个就不对了,我没有设置开机就启动我DLL文件,是由Main.exe加载然后注入的,所以注册表中的main.exe被改动了,就启动不了了,这是个缺点,不过我给的也就是个思路,离真正的病毒差远了
雪    币: 212
活跃值: 活跃值 (47)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
pady 活跃值 2011-4-18 15:01
19
0
呵呵 我不明真相 逆下看看
游客
登录 | 注册 方可回帖
返回