首页
论坛
课程
招聘
二次的gh0st
2013-8-14 22:16 24564

二次的gh0st

2013-8-14 22:16
24564
   gh0st这个算是老东西了,很老很老的东西了.....
这里有一份去年修改过的源码,然后有一些过杀软的思路方法.
    有兴趣可以自己在里面加DDos的啊,网上源码很多直接找找Ctrl+C就好了.


第一、开机启动:
       先说开机启动,这个杀软检测的很严,只要改动注册表(当然不只是改注册表这一种开机启动方法)立马就弹框了,这里很显然是改注册表的相关函数被做手脚了.
然后现在还有一种高端点的方法,感染所有模块,感染后只要打开被感染的就.....(加区段,找空隙等等就不说了)感染特征得不一样呢,最简单的是直接那段代码一个异或算法.(高端的方法自己想自己逆)
第二、静态查杀:
       静态查杀一般是扫导入导出表和一些特征码,导入导出表这些懂编程的都知道怎么搞.(导入表的用GetP....来获取就好了,导出表得改导出名和函数一些特征;) 最后是特征码,特征码好像大多都用multiCCL一点的分解,然后再用杀软扫,再分解再扫.....一直到最后很小距离的几个地址(这些就是被杀的特征码).还有就是自己写免杀壳......
第三、域名拦截:
       虽然用杀软扫不被杀了,但是安装服务端就提示黑客控制等等.
这里有一个思路就是把IP直接放在360,金山等论坛上然后.......
还有一种就是rundll32.exe MallList.dll Start(也不只是rundll32能这么干,这个去年测试是可以的)这样加载导出函数来解析域名然后再传回xxx进程,然后再连接,发现还是提示黑客控制.....
(金山提示这个,360不是提示的这个)提示这个得在源码里改包的内容和长度.
第四、主动防御:
       这里一直都没好的方法,虽然知道杀软就是在KiFastCall....、SSDT和一些更底层的函数上做了手脚,但是自己的驱动无法主动加载上,来Pass这些.(或许只有在R3找Bug或者替换模块,然后xxx加载上自己的驱动来做更强有力的事.)

http://pan.baidu.com/share/link?shareid=3859509466&uk=2248167726
附加传不上,传百度网盘了.                             过个七夕好多人放游戏驱动的,,,,,,,

看雪侠者千人榜,看看你上榜了吗?

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (32)
雪    币: 8
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
SinCoder 活跃值 2013-8-14 22:20
2
0
好的  传网盘 赞一个
雪    币: 2790
活跃值: 活跃值 (97)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yjd 活跃值 2013-8-14 22:22
3
0
还是网盘给力,支持。
雪    币: 255
活跃值: 活跃值 (12)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
AioliaSky 活跃值 1 2013-8-14 22:25
4
0
老同学,辛苦了
雪    币: 345
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
学雄 活跃值 1 2013-8-14 22:27
5
0
源码是次要,过杀软才是主菜...
雪    币: 38
活跃值: 活跃值 (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
jaix 活跃值 2013-8-14 22:54
6
0
mark  等下看
雪    币: 248
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
无心问世 活跃值 2013-8-14 23:22
7
0
貌似现在写个用FTP的一键上传工具(把FTP写死进入,扫描当前目录并上传)都要域名拦截了,用直接用IP一样要提示,各位有什么方法解决没有
雪    币: 119
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
libocdf 活跃值 2013-8-15 01:26
8
0
怎么说也该加个优秀a......
楼主的标题不够好
雪    币: 2
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
tommyc 活跃值 2013-8-15 08:56
9
0
学习下
雪    币: 325
活跃值: 活跃值 (29)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
地狱怪客 活跃值 2 2013-8-15 10:59
10
0
没看到什么亮点。。。很多地方都是一眼看下去就知道是ghost。理论部分大多数做木马的都知道。。。
雪    币: 122
活跃值: 活跃值 (84)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
Nermor 活跃值 1 2013-8-15 11:36
11
0
IOCP 部分有BUG 不知道你改了没改。
雪    币: 816
活跃值: 活跃值 (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zyicai 活跃值 2013-8-15 11:52
12
1
先接下,再看看
雪    币: 49
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
maofuding 活跃值 2013-8-15 14:23
13
0
这难道都是七夕惹的祸,看来程序猿大牛们七夕貌似和电脑过的
雪    币: 71
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mumaren 活跃值 2013-8-15 14:57
14
0
感谢共享
谢谢
雪    币: 9
活跃值: 活跃值 (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
bbzwj 活跃值 2013-8-15 16:36
15
0
虽然早已没实用性,但共享精神可嘉~
雪    币: 360
活跃值: 活跃值 (38)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
babalove 活跃值 2013-8-15 17:02
16
0
源码?
bin?
雪    币: 26
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
tojen 活跃值 2013-8-15 18:08
17
0
还是得白加黑才是靠谱的,功能不是主要的,抗杀,过主动才是根本
雪    币: 8
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
echotxl 活跃值 2013-8-17 16:26
18
0
gh0st的bug早已出poc,看看还管用吗?
雪    币: 396
活跃值: 活跃值 (277)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
KooJiSung 活跃值 2013-8-17 16:31
19
0
啊哦,你来晚了,分享的文件已经被取消了,下次要早点哟。
雪    币: 220
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
alargel 活跃值 2013-8-17 20:28
20
0
啊哦,你来晚了,分享的文件已经被取消了,下次要早点哟。
雪    币: 111
活跃值: 活跃值 (62)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ling林 活跃值 2013-8-17 21:46
21
0
网盘上已经没有了,请重新共享
雪    币: 216
活跃值: 活跃值 (86)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dayang 活跃值 2013-8-18 15:53
22
0
这么快就没了???
雪    币: 173
活跃值: 活跃值 (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
oopww 活跃值 2013-8-18 16:31
23
0
好像打不开了!!!!
雪    币: 290
活跃值: 活跃值 (10)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
raigeki 活跃值 7 2013-8-19 11:59
24
0
共享已经取消了~~
雪    币: 220
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
alargel 活跃值 2013-8-20 09:20
25
0
请楼主继续共享。。。。
游客
登录 | 注册 方可回帖
返回