瑞星卡卡安全论坛
taylor05771 - 2007-5-20 11:36:00
笑死了
拿个免杀工具 过一下 而已
这种免杀你自己玩吧
孤独更可靠 - 2007-5-20 11:39:00
File size: 132303 bytes
MD5: 583f86d285d644ad34727456297a32bd
SHA1: 857f638baa9cb1c97984c2dc88c168e4a06e0842
加花,UPX,隐藏入口点,达到免杀,不过对于的启发式和虚拟脱壳技术没用
一句话:表面免杀,的确,程序能运行,不过运行后也被杀,所以结果一样
思路还不错,利用宿主Svchost反弹连接
哎,不说了...
一些资料:
rocess:
Path: C:\Documents and Settings\admin\桌面\server.exe
PID: 1404
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\netctrl
Registry value: Info
Type: REG_SZ
Value: 0;1*40?&9/07=?>789?:22751;7?< Process:
Path: C:\Documents and Settings\admin\桌面\server.exe
PID: 1404
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\netctrl\Parameters
Process:
Path: C:\Documents and Settings\admin\桌面\server.exe
PID: 1404
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\netctrl\Parameters
Registry value: ServiceDll
Type: REG_EXPAND_SZ
Value: C:\winnt\system32\syst.dll
Parent process:
Path: C:\Documents and Settings\admin\桌面\server.exe
PID: 1404
Child process:
Path: C:\WINNT\system32\CMD.EXE
Information: Windows NT Command Processor (Microsoft Corporation)
Command line:cmd /c del "C:\Documents and Settings\admin\桌面\server.exe"
Process:
Path: C:\WINNT\system32\svchost.exe
PID: 1144
Information: Generic Host Process for Win32 Services (Microsoft Corporation)
Network information:
IP address: 61.156.7.6
Trusted zone: No
Protocol: IP
Process:
Path: C:\WINNT\system32\svchost.exe
PID: 1144
Information: Generic Host Process for Win32 Services (Microsoft Corporation)
Network information:
IP address: 219.146.4.130
Trusted zone: No
Protocol: IP
还带了个SOCK5后门,呵呵
年轻人,D调点..我也大不了你几岁.
孤独更可靠 - 2007-5-20 11:46:00
过国际杀软只怕也是空穴来风
Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.18.2007 no virus found
AntiVir 7.4.0.23 05.18.2007 HEUR/Crypted
Authentium 4.93.8 05.18.2007 could be a corrupted executable file
Avast 4.7.997.0 05.18.2007 Win32:Hupigon-AMD
AVG 7.5.0.467 05.19.2007 no virus found
BitDefender 7.2 05.20.2007 GenPack:Generic.Graybird.CEF159FF
CAT-QuickHeal 9.00 05.18.2007 no virus found
ClamAV devel-20070416 05.19.2007 no virus found
DrWeb 4.33 05.19.2007 BackDoor.Beizhu
eSafe 7.0.15.0 05.17.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3644 05.19.2007 no virus found
Ewido 4.0 05.19.2007 Backdoor.Hupigon.ene
FileAdvisor 1 05.20.2007 no virus found
Fortinet 2.85.0.0 05.20.2007 suspicious
F-Prot 4.3.2.48 05.18.2007 no virus found
F-Secure 6.70.13030.0 05.18.2007 no virus found
Ikarus T3.1.1.7 05.19.2007 Generic.Graybird
Kaspersky 4.0.2.24 05.20.2007 no virus found
McAfee 5034 05.18.2007 no virus found
Microsoft 1.2503 05.20.2007 Backdoor:Win32/Hupigon!03ED
baohe - 2007-5-20 11:53:00
| 引用: |
【★绝世黑客★的贴子】就你那人品,还想冲能,我刚下载了一个瑞星,升级到最新,什么也没杀出来,何况那个鸽子又不是2007,为什么显示2007?你心眼真多,哪弄个灰鸽子自己杀出来的,你真是个人才,人才中的人才,小弟绝对佩服这种计谋。在说了,你手工杀不干净。
这个鸽子绝对能运行,不是死的,过卡巴主动防御。129KB,
……………… |
煮熟的鸭子——肉烂嘴不烂!我真服你了!
自己看。看不懂?那就别以什么“黑客天才”自居了。
附件:
1558472007520114352.jpg
baohe - 2007-5-20 11:54:00
★绝世黑客★ - 2007-5-20 11:55:00
你这样说对了,这句话我服。这个病毒,在改改特征码,一般杀毒查不出来的,已经可以玩拉,在真正的高手群里,我只是想看下本论坛人员的水平。
孤单更可靠说的这些,才是用实际行动说出来的。
★绝世黑客★ - 2007-5-20 12:00:00
我想问一下,一般用户,装个杀毒,一旦这个变种发出去,他们能杀掉吗?毕竟高手是有限的,虽然我很支持国产杀毒,但是,国产杀毒的水平......我只能这样说了。
因为我小,我未成年,我不懂事,所以,说点大话又和访?
我还想希望瑞星能把水平提上去。
newcenturymoon - 2007-5-20 12:06:00
麻烦 病毒样本发到我邮箱好么
newcenturymoon1986@yahoo.com.cn
加密 123
杀毒软件现在一般很难在正常模式下 处理鸽子 安全模式下会处理掉一般
还是希望最好把这些东西用到好的地方 学学手工杀毒 帮帮这里的求助者 多好啊
yqlikaka - 2007-5-20 12:10:00
黑客天才?16岁?太大了,13岁这个水平都成不了大气,只能做病毒作者,而不是黑客.....
孤独更可靠 - 2007-5-20 12:15:00
| 引用: |
【★绝世黑客★的贴子】我想问一下,一般用户,装个杀毒,一旦这个变种发出去,他们能杀掉吗?毕竟高手是有限的,虽然我很支持国产杀毒,但是,国产杀毒的水平......我只能这样说了。
因为我小,我未成年,我不懂事,所以,说点大话又和访?
我还想希望瑞星能把水平提上去。
……………… |
看杀软了,表面免杀那很正常,瑞星表面没报,实际上你运行时候就会被杀掉(杀内存\虚拟技术)
普通用户?
[Remote Help & Control Service / netctrl][Running/Auto Start]
<C:\winnt\system32\svchost.exe -k remoteservice-->C:\winnt\system32\syst.dll><N/A>
SREng日志也跟踪到了,如果有人发日志求助的话,那么这个服务项会被删除.
灰鸽子的真正的水平可没那么菜(无进程\rootkit\隐自身等等),不过建议你别研究了,只能是浪费时间.
建议去学点有益的,比如说网络安全
天月来了 - 2007-5-20 12:27:00
估计也就再过一年半载吧。我估计再出的玩意,用SRENG扫的日志,都不容易看到什么了。
至少sreng用的太滥了,其他的几个主流的扫日志的东西也用的有点滥。
制毒的都在动这心思呢。
很害怕病毒 - 2007-5-20 12:41:00
我看不懂你们的专业术语,看来高手还是很多的
baohe - 2007-5-20 12:41:00
奉劝楼主两句(听不听在你自己):
1、要学做事,先学做人。
2、天,绝不止井口那么大。
�火影忍者 - 2007-5-20 13:04:00
| 引用: |
【★绝世黑客★的贴子】21楼的,我真的想骂你,我日,我昨天花了一天时间免杀灰鸽子,过了所有杀毒,你TMD的说我拿什么东西随便加壳,我日,加密的灰鸽子自己查不出,还说我拿别的东西。QQ远程协助,我看你们怎么杀的,唯一的缺点是我在内网里,连不上,要不,你电脑遭殃了。
……………… |
我晕...花一天时间做的免杀.就这种水平...(一种杀软都没过..)
还自称天才,还想骂人...服了....
天月来了 - 2007-5-20 13:07:00
这楼主要是在这论坛多帮助帮助求助的,估计会有不同的感受和想法。
不知怎样呢?????
newcenturymoon - 2007-5-20 13:24:00
File: C:\Documents and Settings\Administrator\桌面\server\server.exe
Size: 132303 bytes
Modified: 2007年5月20日, 12:01:34
MD5: 583F86D285D644AD34727456297A32BD
SHA1: 857F638BAA9CB1C97984C2DC88C168E4A06E0842
CRC32: 55907570
建立服务
netctrl
HKLM\SYSTEM\ControlSet001\Services\netctrl\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\netctrl\Parameters\ServiceDll: "C:\WINDOWS\system32\syst.dll"
HKLM\SYSTEM\ControlSet001\Services\netctrl\Enum\0: "Root\LEGACY_NETCTRL\0000"
HKLM\SYSTEM\ControlSet001\Services\netctrl\Enum\Count: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\netctrl\Enum\NextInstance: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\netctrl\Type: 0x00000110
HKLM\SYSTEM\ControlSet001\Services\netctrl\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\netctrl\ErrorControl: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\netctrl\ImagePath: "C:\WINDOWS\system32\svchost.exe -k remoteservice"
HKLM\SYSTEM\ControlSet001\Services\netctrl\DisplayName: "Remote Help & Control Service"
HKLM\SYSTEM\ControlSet001\Services\netctrl\ObjectName: "LocalSystem"
HKLM\SYSTEM\ControlSet001\Services\netctrl\Description: "Remote Help & Control Service"
HKLM\SYSTEM\ControlSet001\Services\netctrl\Info: "0;1*40?&9/07=?>789?:22751;7?<
用sreng 删除相关服务后
重启删除那个syst.dll即可
newcenturymoon - 2007-5-20 13:26:00
我已经做了一个 关于手动杀你那个鸽子的视频 你有否兴趣看一下呢?
�火影忍者 - 2007-5-20 13:27:00
看下..
newcenturymoon - 2007-5-20 13:29:00
楼主给我你的 邮箱 我把那个视频给你发过去
UFO不幸外人 - 2007-5-20 13:56:00
1个垃圾,自己好好看看免杀文章,学好了再来。有本事你就让这论坛里面的高手都不能完全删除,有本事你就编写代码彻底关闭冰刃。什么都不行,就这里叫嚣,你中了木马还不知道你怎么办呢?!
16岁怎么了,美国16岁黑客曾经成功攻击过中央情报局,那叫有本事,你这个算什么………………
£影子虫あ - 2007-5-20 14:10:00
纳闷....
没赶上...
请问那病毒还在么~~楼主
我油箱q6666317@163.com
放马过来~~见识下~~
我也16岁就会做表面免杀了~~~
也就是加壳--重配资源--加密之类的.(当时好象还没加花)
不过到现在19岁了~~还停留在那阶段~~
虽然不知道你是不是真那么厉害~
但是真正的免杀技术需要编程基础做保障的~~
想学的话还是把自己的英语基础学好先吧
天月来了 - 2007-5-20 15:34:00
呵呵影子虫!!
我就说你那系统捣鼓的东西太多了吧?
干脆重做个得了,你自己都找不出东西南北了,还留着干嘛呢??
微小的点 - 2007-5-20 15:41:00
你能过这个吗???过了我算你厉害!!
http://www.micropoint.com.cn/download/
© 2000 - 2026 Rising Corp. Ltd.