最近研究了一份远程控制的源码,远程控制的软件通常会造杀毒软件的追杀,但是通过改写源代码可以躲避杀毒软件的查杀。
一般的杀毒软件会通过定位文件的特征码来确定是不是病毒,这些特征码很容修改,而一些高启发式的杀毒软件会查杀远程控制软件的导出表,这就需要程序动态调用DLL导出函数。
下面是两种动态调用DLL导出函数的方法,可以直接照猫画虎来动态调用各种DLL导出函数。
动态调用DLL函数对程序的运行没有任何影响,除了会增大程序的体积。通过Winhex等软件可以看到动态调用DLL导出函数的程序中的API函数都显示在字符串中。
极光IE 0day漏洞出来好多天了,各种杀毒软件公司极力宣传极光(CVE-2010-0249)IE 0day漏洞多么可怕,什么一打开网页就中招,什么被入侵电脑的游戏帐号可能被盗,银行帐号多么危险。我看这就是一个噱头,无非是骗骗菜鸟在电脑上安装个只占内存不杀毒的垃圾软件,自己的网站服务器都被挂马,还能指望它杀毒?!
在网络媒体报道极光漏洞第二天网上就有极光的Shellcode流出,我从一个被挂马的网站上也抓回一个,在自己机器上测试确实像传说中的一样“不弹,不卡”,就像当年的MS06014。但我在测试过程中发现我抓到的极光的Shellcode只有在IE6下才有效,跟网上报道的有很大出入,在没打补丁的IE7下测试都不能正常执行。
这几天也在关注什么网站被挂马,好第一时间抓个回来,希望能抓到那个被利用攻击谷歌的shellcode。之前公布的极光IE 0day(CVE-2010-0249) 就是针对IE6的。给大家分析一下这马到底是怎么挂到网站上去的。
