Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Thảo luận trong 'Virus/Malware' bắt đầu bởi Phanonra, 07/11/13, 06:11 PM.

  1. crazykid

    crazykid W-------

    Tham gia: 24/09/13, 10:09 AM
    Bài viết: 24
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

    Mình cũng may mắn được RCE các chương trình delphi 1 vài lần thui bạn :D Các chương trình viết bằng Delphi làm dân RCE vui ở chỗ các trình dịch của nó đều dựa chuẩn Object Pascal nên các cơ chế gần như nhau ( các trình biên dịch gần đây nhất thì chưa tiếp cận nên chưa biết có thay đổi gì không ) 1 điều nữa là có khá nhiều công cụ rất mạnh hỗ trợ RCE delphi. Kaspersky Lab và CMC đều có cung cấp nhiều công cụ như thế. hơn nữa khi RCE delphi ta đỡ được những công đoạn như đau đầu reformat các exception handler. Lọc code code inline,.... Mặc dù khi nó code bằng C/C++ thì ta có thể lọc ra code của nó sau khi so sánh các open source tuy nhiên RCE Delphi vẫn rất hấp dẫn :D cá nhân mình thấy thế :D
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Phanonra

    Phanonra Banned

    Tham gia: 07/11/13, 06:11 PM
    Bài viết: 213
    Đã được thích: 1
    Điểm thành tích:
    36
    Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

    Đang nói về IDE Delphi ... có động chạm hay xịt chao gì liên quan tới IDE khác đâu bạn ?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. Chym Lợn

    Chym Lợn W-------

    Tham gia: 19/12/13, 01:12 PM
    Bài viết: 4
    Đã được thích: 0
    Điểm thành tích:
    6
    Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

    So sánh kiểu gì vậy bạn :D . Tell me ;;)
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. crazykid

    crazykid W-------

    Tham gia: 24/09/13, 10:09 AM
    Bài viết: 24
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

    :D Đối với các malware dùng VC++ ta có thể xác định version trình biên dịch, sau khi xác định được nó thì ta có thể tìm các thư viện Dell tương ứng của trình dịch đó, lấy con debugger symbol file từ MS apply các .pdb lưu lại .idb sử dụng các plugin để so sánh idb malware và idb đó. Vô thư mục source của VS cùng version với ver của con malware và apply các name, symboy từ thư việc của VC sang idb của malware. Đánh dấu các function thư viện, các match và identical bạn sẽ lọc ra được code của coder malware đó + 1 số code inline. Dựa vào kết quả classinformer các string các hard code,.... tra google cố gắng xem liệu thằng code đó xài các source nào, kéo nó về và lại apply idb file .lib hay .dll của open source đó tìm ra các hàm. Đế đó là bạn đã lọc ra được phần nào rồi :D Phần còn lại code lẽ nhường cho bạn ;) kiến thức mình nông cạn nên nói tới đây đủ gạch xây nhà ùi :eek:
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. crazykid

    crazykid W-------

    Tham gia: 24/09/13, 10:09 AM
    Bài viết: 24
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

    :rolleyes:
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. Phanonra

    Phanonra Banned

    Tham gia: 07/11/13, 06:11 PM
    Bài viết: 213
    Đã được thích: 1
    Điểm thành tích:
    36
    Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

    Mình không biết các bác phân tích thế nào, ngoài delphi và asm ... ngôn ngữ khác mình chưa bao giờ code.
    Còn về thế mạnh, mình từng thử chia ra 2 team , team mình chỉ 1 người, team kia 5 người với đề tài code con backdoor đơn giản với gui giao diện và ghi lại keylog trả về server, server xâu ra danh sách IP , chuột phải vào có thể xem log keylogger.
    > Thời gian hoàn thành của mình là khoảng 1 tiếng
    > Bên kia thì mất 1 ngày :D

    Thích code delphi vì IDE hỗ trợ mạnh, đơn giản, ngôn ngữ sạch thuần túy, dễ nhìn, cơ bản.

    Khác nhau ... tại sao người code C/C++/C#/Java đông hơn hẳn so với delphi ?
    > C/C++/C#/Java -> trường lớp dạy, microsoft hậu đãi
    -> Delphi trường lớp ít ai dạy , microsoft ko hậu đãi

    > C/C++/C#/Java -> nhiều ví dụ, cộng đồng lớn, làm việc mang tính chất teamwork
    -> Delphi ít ví dụ nhưng nếu có kiến thức về C/C++/C#/Java vẫn có thể sao chép ý tưởng rồi chuyển đổi về delphi, có tính chất solo programmer

    > C/C++/C#/Java rất mạnh toàn cầu, mạnh ở VN
    -> Delphi cực mạnh ở trung quốc, nga, châu âu (thêm bí mật nho nhỏ, các đại ka code virus khủng như flame, ... đều sử dụng delphi) -> học hỏi thêm kinh nghiệm.

    Chốt: Ngôn ngữ lập trình không quan trọng bằng khả năng convert code là 1, sao chép ý tưởng là 2 (học cái khôn của người khác), tư duy là 3. Đủ 3 cái trên thì ngôn ngữ lập trình khong phải là vấn đề nữa.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. Chym Lợn

    Chym Lợn W-------

    Tham gia: 19/12/13, 01:12 PM
    Bài viết: 4
    Đã được thích: 0
    Điểm thành tích:
    6
    Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

    Let's me see ! Giờ mình build 1 con malware và đưa nó cho cậu => cậu compare dùm mình nhé :(
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. crazykid

    crazykid W-------

    Tham gia: 24/09/13, 10:09 AM
    Bài viết: 24
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

    OK bạn :) dù sao cũng có dịp nâng cao thêm kinh nghiệm vào kì nghỉ tết sắp tới :D
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. xlh1973

    xlh1973 W-------

    Tham gia: 04/01/14, 07:01 AM
    Bài viết: 11
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

    Mình không có mẫu của bạn nên chưa thử, nhưng có cái phần 15p thay đổi process name một lần đó bạn, không biết bạn có thử dùng qua "DLL injection" chưa?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. Phanonra

    Phanonra Banned

    Tham gia: 07/11/13, 06:11 PM
    Bài viết: 213
    Đã được thích: 1
    Điểm thành tích:
    36
    Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

    15p thay đổi process 1 lần thì có gì đâu, cho 1 cái timer lên tự countdown mỗi khi bắt đầu start working thread, gần 30 giây cuối abcxyz 1 process mới lên lấy ra từ tasklist coi cái nào chiếm số đông nhất thì clone cái đó rồi App.Terminate.
    Còn dll injection thì backdoor sống đc bao lâu hả bạn ? :D

    Với lại bây giờ hướng code mới của mình là ghi đè code lên DLL hoặc lên EXE, nghĩa là mình sẽ infect thẳng vào ex: "explorer.exe" ... mỗi khi win start lên thì start kèm code con backdoor lun, còn việc ghi đè thì tạo 1 kết nối đơn giản và gọi các module khác thông qua các dll cho nhanh & nhẹ.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. e gà lắm

    e gà lắm W-------

    Tham gia: 21/10/13, 12:10 PM
    Bài viết: 18
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

    Mỉa mai gì bác
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. ollyida

    ollyida W-------

    Tham gia: 17/07/13, 03:07 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

    Xem các video thấy cậu test client server chạy cùng trên 1 máy, không đúng với môi trường thực tế lắm. Cậu thử test trên 2 máy khác nhau xem?
    Lý do chỉ chơi với server chắc là cần IP tĩnh để gửi nhận lệnh qua socket hả :D, cậu làm thêm thằng http client nữa thì sẽ chơi được với nhiều bạn hơn?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. Huh1305

    Huh1305 W-------

    Tham gia: 24/10/14, 06:10 AM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

    Nếu có cho em code em học hỏi với nhé.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  14. chipeo

    chipeo W-------

    Tham gia: 16/07/14, 09:07 AM
    Bài viết: 30
    Đã được thích: 0
    Điểm thành tích:
    16
    Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

    cai nay hay do, minh co dung duoc khong ?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan