請選擇 進入手機版 | 繼續訪問電腦版

微剋多資訊

 找回密碼
 註冊

Login

搜索

該用戶從未簽到

發表於 2012-10-19 15:57 | 顯示全部樓層 |閱讀模式
本帖最後由 rictirse 於 2014-5-22 22:03 編輯

目前病毒的種類五花八門
但不外乎分為
1.惡意程式
 破壞他人電腦為主要目的,沒有從他人電腦竊取資料或資訊。
2.木馬程式
 竊取他人電腦的資訊,如按鍵記憶etc


這邊我用簡單的惡意程式做範例,既然都是寫程式的人噹噹不希望把這個專業應用在不當的地方

只是把常見的病毒作業方法列出來,這邊應用最簡單的winkill 來實現這支惡意程式

你開什麼視窗他就關閉什麼視窗,程式碼很簡單,但是也不好對付

首先我們需要一支主程式

這邊用病毒常命名的方式 例如System32.exe

接著還需要一支監控程式

這支命名就為 Svchost32.exe

這時候就會有人問為什麼需要兩支程式呢

道理很簡單,主程式負責 WinKill 的部分,監控程式負責監控System32.exe 是否存在

如果System32.exe 被結束工作 Svchost32.exe會馬上重新啟動System32.exe

達到一般病毒所謂的重生功能,當然System32裡面也是有監控Svchost32是否存在的指令

兩支程式互相監控要用手動關閉幾乎不可能,除非再寫一支 Process Close 同時結束這兩支程式

接下來要處理的地方是重新啟動自動執行惡意程式

方法其實很多種,這邊我用最簡單的 啟動 來實現

當然這種方法是最容易破解的,F8安全模式去把啟動裡面的檔案刪掉這支程式就破功了

但其他方法這邊噹噹也不打算公開,以防有心人士加以利用

在接下來的部分我只用口述,不會在實際的code上面演示

隨機資料,隨機檔名存取,要搭配 深度資料夾掃描

再使用 Random這類的亂數產生器隨機把病毒隱藏在資料夾內

當然檔名也是隨機產生,增加殺毒的難度

其次是在工作管理員內隱身,這個是一個高度技術

當然autoit 也是可以做到的

講了那麼多理論方法,這邊來看一下 這兩支程式的code 與 實測影片



訪客,如果您要查看本帖隱藏內容請回覆


該用戶從未簽到

發表於 2012-10-19 16:13 | 顯示全部樓層
隱身+免殺之後就很麻煩了 (連檔名都不一定找得出來)

假設知道檔名..

除了安全模式以外,我只想的到先用IFEO的方式擋掉他,再刪除
(群組原則沒試過)

使用道具

簽到天數: 172

該用戶今日未簽到

發表於 2012-10-19 18:34 | 顯示全部樓層
看了噹噹版主的介紹
讓我獲益良多 更了解這一塊了~
辛苦囉^^

使用道具

該用戶從未簽到

發表於 2012-10-19 19:34 | 顯示全部樓層
原來病毒可以這樣互相監控來避免被手動關閉
之前朋友有重過類似病毒,安裝防毒軟體它就把我關閉

假如目前防毒軟體無法刪除,也無法手動刪除
想安裝新款防毒軟體又會被病毒給關閉視窗

這樣一來是不是就變成無解了
還是使用安全模式下病毒就不會啟動了

使用道具

該用戶從未簽到

發表於 2013-1-4 20:50 | 顯示全部樓層
其實只要病毒互相開啟一般End User幾乎都解決不了,

因為連檔案在哪都找不到,

如果再加上其他隱藏方法的話就更難處理了。

使用道具

該用戶從未簽到

發表於 2013-1-22 21:59 | 顯示全部樓層
話說這惡意行為 會不會被防毒軟體跳窗阿!

看來大大也是一位熱心的好大大 願意分享 招募有興趣的各位們

使用道具

jhcu790822 該會員已被刪除
發表於 2015-5-5 10:04 | 顯示全部樓層
提示: 作者被禁止或刪除 內容自動屏蔽

使用道具

該用戶從未簽到

發表於 2016-3-16 21:29 | 顯示全部樓層
看完了噹噹這篇教學感覺還有很多地方需要學習的,謝謝噹噹版主瞜!

使用道具

該用戶從未簽到

發表於 2016-3-22 01:02 | 顯示全部樓層
又讓我見識到噹噹大大的招式了,
多學了一招,原來簡單的惡意軟體也可以這樣使用,
先陣子,autoit 讓我遇到瓶頸,幾乎不常開啟它過,
想必還得從噹噹大大那邊多學幾招來玩玩。

使用道具

您需要登入後才可以回帖 登入 | 註冊

本版積分規則

Discuz! X

© 2009-2017 Microduo

快速回覆 返回頂部 返回列表