鬼仔's Blog

文章作者：gyzy [E.S.T]（www.gyzy.org）
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

本文已经发表在《黑客防线》2007年2月刊。作者及《黑客防线》保留版权，转载请注明原始出处。

适合读者：木马爱好者
前置知识：汇编语言基础，PE结构基础

文/图 孤烟逐云（gyzy）【江苏大学信息安全系 & 邪恶八进制信息安全团队】

今年四月份的黑防有一篇文章《把任意可执行文件作为木马载体》,文中介绍了通过给可执行文件添加一个新节并修改程序入口点的方法来加载我们的特洛伊 DLL,此方法具有明显的病毒行为特征,卡巴会将其识别为新的Win32病毒,据我的理解,凡是入口点不是指向代码节的它都会报有毒.KIS是防火墙与杀毒软件等传统安全产品的超集, 阅读全文 »

在h4x0r那里看到的
说是小米放到他群里的
然后我到小米的群共享里看了下
的确在里面放着
然后下了一份回来

据h4x0r说
这个东西里面可能有后门。

来源：H4x0r's Blog

下载地址：
WebDownLoader.rar

作者：精灵

更新部份:
增加代码xor解密功能,以逃过杀毒软件.

生成MiNI下载者,则需要自己做一个工具了.读懂代码,把相应的部份加密即可.

参考delphi版本的下载者源代码，编出来有16K左右。压缩也有10K多，
于是写了VC的代码。按以下的设置，编译出来2K左右。
还可以可以再设置一下编译开关，以减小体积。

Ps:原代码中4处没有对\转义,以下代码编译通过;
编译出来16K,去掉4行注释,编译后3K(编译环境:Win2003+VC6.0)
阅读全文 »