简单的Downloader
dwing吧
全部回复
仅看楼主
level 13
dwing 楼主
最近注意到日月光华的反病毒软件下载版只有832字节,下来一看,就是一个downloader,和许多在线下载并运行的病毒做法差不多.00400230 >/$ 55 push e
bp
00400231 |. 8BEC mov ebp,esp00400233 |. 83EC 28 sub esp,2800400236 |. 56 push esi00400237 |. 57 push edi00400238 |. 6A 0A push 0A; ASCII "http://update.viruschina.com/html/i.exe"0040023A |. BE 08024000 mov esi,00400208 0040023F |. 59 pop ecx00400240 |. 8D7D D8 lea edi,[ebp-28]00400243 |. 8D45 D8 lea eax,[ebp-28]00400246 |. F3:A5 rep movsd00400248 |. 50 push eax00400249 |. FF15 F8014000 call [<&WININET.DeleteUrlCacheEntry>]0040024F |. 6A 00 push 000400251 |. 8D45 F9 lea eax,[ebp-7]00400254 |. 68 00000080 push 8000000000400259 |. 50 push eax0040025A |. 8D45 D8 lea eax,[ebp-28]0040025D |. 50 push eax0040025E |. 6A 00 push 000400260 |. E8 11000000 call
00400265 |. 8D45 F9 lea eax,[ebp-7]00400268 |. 6A 01 push 1 ; ShowState = SW_SHOWNORMAL0040026A |. 50 push eax ; CmdLine0040026B |. FF15 F0014000 call [<&KERNEL32.WinExec>]00400271 |. 5F pop edi00400272 |. 5E pop esi00400273 |. C9 leave00400274 \. C3 retn
2006年06月02日 00点06分 1
level 2
linestyle
有意思,呵呵:)
2006年06月02日 05点06分 3
level 0
61.235.208.*
而且很容易改装,不知道若有闲人拿此改成个木马下载者,是该杀还是不该杀呢?
2006年06月02日 06点06分 4
level 2
linestyle
改装是什么意思?除非他们服务器被黑,要不应该加冒了也没有用:)
2006年06月02日 10点06分 5
level 13
dwing 楼主
似乎管理员删掉了我在2楼反编译成C的代码...
2006年06月02日 11点06分 6
level 0
61.235.208.*
管理员应该没有乱删帖子的权利的,如果真的是乱删的可以投诉
2006年06月02日 12点06分 7
level 13
dwing 楼主
那个更新程序只要把下载地址一改,就成trojan downloader了.
2006年06月02日 12点06分 8
level 13
dwing 楼主
下载的木马可以每小时自动修改特征并更新.而包括卡巴在内的杀软对这样的程序毫无办法.不过确实有不少的downloader程序都被直接杀掉了.
2006年06月02日 12点06分 9
level 13
dwing 楼主
//其实这种程序没什么技术含量的#pragma comment(linker,"/MERGE:.data=.text")#pragma comment(linker,"/MERGE:.rdata=.text")#pragma comment(linker,"/ENTRY:main")#pragma comment(linker,"/OPT:NOWIN98")#pragma comment(lib,"wininet.lib")#pragma comment(lib,"urlmon.lib")#include
#include
#include
void main(){char *url="http://update.viruschina.com/html/i.exe";char *exe="/i.exe";DeleteUrlCacheEntry(url);URLDownloadToFile(0,url,exe,0,0);WinExec(exe,SW_SHOWNORMAL);}
2006年06月08日 00点06分 10
level 2
linestyle
还需要设置编译选项的对齐:)
2006年06月08日 01点06分 11
level 13
dwing 楼主
VC6.0中只需要以Release方式编译即可,无需其它设置.
2006年06月08日 05点06分 12
level 2
linestyle
那就要把优化最小大小选上,要不会编译之后有一些空白的区域!:)
2006年06月08日 06点06分 13
level 13
dwing 楼主
#pragma comment(linker,"/OPT:NOWIN98") //仅512字节对齐如此简单的代码,速度优化和大小优化区别不大.
2006年06月08日 07点06分 14
level 2
linestyle
但是如果不选优化或者对齐,可能编译出100多字节00.:)
2006年06月09日 01点06分 15
level 13
dwing 楼主
512字节对齐已经足够小了,上面的C程序用默认的Release模式即可生成1KB的可执行文件.
2006年06月09日 05点06分 16
level 2
linestyle
不过要是选上了优化,vc6编译应该到842字节:)
2006年06月09日 07点06分 17
level 13
dwing 楼主
其实512字节对齐的PE文件比较好看,而且是否对齐并不影响加壳的压缩率.多数磁盘都是以512字节(一个扇区)为保存单位的,所以512字节对齐对磁盘空间的占用没有任何影响.
2006年06月09日 11点06分 18
level 2
linestyle
如果,dwing老大要是要是愿意优化这个download的程序的PE头,应该能优化到512个字节之内:)希望dwing用Upack的PE头优化一下,这个download程序,让大家学习学习:)
2006年06月12日 06点06分 20
level 0
61.235.208.*
不能在98下运行的PE算是完好的PE么?目前最放心用的还是UPX
2006年06月12日 07点06分 21
level 13
dwing 楼主
极限优化PE头纯粹是拿来玩的,意义不大.参看我那个172字节PE程序和204字节的MessageBox程序.
2006年06月12日 07点06分 22
1 2 尾页