|
| 盒子资源分类 |
![]() |
|
|
|
|
| 海绵宝宝 第三版 感染启动(仅供学习和研究) |
![]() |
| 关键字:Bv3 感染启动 反向cmdshell |
| 来 自:原创 |
| 平 台:Win2k/XP/NT,Win2003 |
下载所需:0 火柴 |
| 深浅度:中级 |
完成时间:2009/8/16 |
| 发布者:88510731 |
发布时间:2009/8/17 |
| 编辑器:DELPHI7 |
语 种:简体中文 |
| 分 类:网络 |
下载浏览:2058/9579 |
|
|
|
|
|
注:此贴仅供学习和研究!勿用非法途径!
----------
海绵宝宝第三版。因为第四版已经写完了。
所以把这个也发布出来。过不了AVP。
有兴趣自己研究吧。
参考zhc的感染代码。
海绵宝宝 第三版
作者: 某熊论坛 有人说我装B 所以就写个个网名吧 BinJian
代码可能跟原始版本有点改动。可以需要手动修正一下。
我先来说一下思路,先注入Winlogon关闭WFP,然后重命名winlogon为winlogon_,拷贝副本winlogon,释放dll,感染winlogon,修改最后一个节,修改入口点跳到shelcode,使用kernel32.dll里的loadlibraryA加载dll中的sun函数,然后调回EOP点(这部分参考zhc)
dll创建一个新的线程,连接服务器,如果连接成功启动一个新的cmd使用管道指向socket传送数据。
过nod32.
会AVP被杀的部分是:
线程注入关闭WFP部分,这一部分的修改可以参考我的文章(http://sleepless.org.cn/s/archives/306),调用5号门关闭WFP,通过对sfc_os的一些小技巧然后调用5号函数可以完美过AVP
还有就是修改节以后会被avp报毒,可通过添加一个新的空节或使用EPO入口点模糊技术解决。或者参考zhc的IAT大法即可。哈哈哈```` 我在第四版中就用了这种手段。
改完这两个地方基本就可以过AVP了。
清除方法:如果你的电脑上有WFP的话,只要改名winlogon然后等待系统释放一个新的winlogon然后重启,最后删除老的 和 DLL文件就可以了。
如果你的电脑没WFP,那就得去找个winlogon来。
最近发现白色恋人这首歌真的是太好听了。 哈哈
妈的明天6点半起床去学校,我靠,我要睡觉去了。
88,各位。
注意,重新编译dll后需要提取16进制数组在dllbase里编译,可以用winhex等工具,注意要加偏移量,默认是+1。
还有该死的,被人放毒了,今天编译任何的程序卡巴都报毒,后来一杀sysconst的pas不见了,dcu里有毒,该死的肯定是人为了,我百度了一下还没有专门针对delphi的毒。
不过这个版本不会有毒的,因为我没有引用任何系统自带的单元。大小是21KB
不过为了保险起见,最好还是用AVP干一下,大不了重新编译嘛。什么控件也没有的东西。 |
![]() |
| 本站原创作品,未经作者许可,严禁任何方式转载;转载作品,如果侵犯了您的权益,请联系我们! |
| 相关文章 |
|
![]() |
|
|
| 相关评论 |
![]() |
|
共有评论11条
当前显示最后6条评论
|
| skysea_gao |
2009/8/18 17:51:03 |
| 现在当学生的人,还有在用Delphi?了不起,着实让我们很感动。 |
| huhuc |
2009/8/18 18:58:53 |
sectionheader.Misc.VirtualSize:=NewEP+EXTRA_CODE_LENGTH;
这个是不是应该=修正后的SizeOfRawData |
| 251yy |
2009/8/20 8:26:27 |
支持学生学习delphi!楼主在多数人学习微软的C++,C#之时支持delphi,人品就不应该被人怀疑!
我从小学三年级学习delphi,已经六年多了,从没写出什么像样的东西来,真是惭愧。
楼主的做法真给我们学生争光!谁说学生不会编程! |
| dengcs |
2009/8/20 16:21:53 |
| 垃圾 |
| dna32r |
2009/8/25 17:19:47 |
事实上你扔了KOL和SYSTEM
你可以优化到2-3k
看《Delphi萝莉调教》吧 |
| qaz1234567 |
2009/9/10 12:20:46 |
傻逼,"妈的明天6点半起床去学校,我靠,我要睡觉去了。
88,各位。"你靠你妈去吧。 |
| 我要发表评论 |
查看全部评论 |
|
|
|
