- 博客(0)
- 资源 (10)
- 收藏
- 关注
Gh0st源码+去硬盘锁
注: 软件不断更新中,有什么意见大家多多提,偶看可以的就采纳.....gh0st的成长,离不开大家的帮助.
2008/1/27 11:16 : 优化了屏幕传输算法,CPU利用率更低
2008/1/27 16:06 : 驱动以资源方式写入安装文件跟DLL文件中,优化屏幕传输
2008/1/27 17:26 : 修正驱动安装时的一个Bug
2008/1/28 05:28 : 服务端安装强化,加入服务检测,守护线程强化,加入禁用监视,顺便做了下免杀
2008/1/29 12:47 : 改变服务端安装启动方式,隐藏服务,去掉驱动程序和守护线程,感谢Lzx无私的帮助...
2008/1/29 16:12 : 修正键盘记录重复问题,优化服务端上线方式
2008/1/30 04:11 : 修正服务端网络内核的一个导致异常的Bug,优化服务端大小到100K
2008/1/31 01:28 : 重写服务端网络内核,加入数据包验证,及重发功能,更加稳定
2008/1/31 11:36 : 修正服务端网络内核一个导致数据包混乱的问题,加入帧速限制,传输不稳定的情况从此消失...
2008/2/01 10:54 : 主动防御功能加强,过卡巴全监控,瑞星,Kis6,Kis7,Norton,ZoneAlarm,江民2008等杀毒软件.下个版本准备过所有杀软的主动...期待吧.
2008/2/01 14:18 : 加入服务端异常处理,更新稳定,请各位帮助测试..
2008/2/01 15:39 : 修正服务端删除后不能安装的致命错误
2008/2/01 23:35 : 改写了下服务端一些函数,增加稳定性,春季过后重写服务端吧,简洁下程序.
2008/2/02 19:51 : 修正服务端视频监控功能的一些BUG
2008/2/03 00:40 : 屏幕监控加入显示远程鼠标功能
2008/2/05 16:46 : 重写屏幕传输算法,屏幕传输更快,控制更稳定..
2008/2/05 23:45 : 还是网络内核跟屏幕传输方面,只求更快,不求最快,前版本屏幕传输有问题,旧版本不能上线,请用最新版本...
2008/2/06 17:32 : 服务端做了些优化,加入跟踪远程光标的功能,旧版本不能上线,请用最新版本
2008/2/07 00:57 : 改了些服务端,没事优化优化,准备过完年,大整一下,新年快乐...
2008/2/07 16:02 : 没事加了个托盘功能,做了些代码优化,一个人过年,有点郁闷...
2008/2/07 20:42 : 修正服务端一个句柄泄漏的问题..
2008/2/08 22:08 : 全面优化了下服务端,新加了备注功能.
2008/2/09 22:58 : 修正一些大家提到的问题,Gh0st RAT Beta 2.1 发布
2008/2/11 00:18 : 修正服务端安装的一个BUG,静心研究ACE中,暂停更新...................
2008/2/17 16:14 : 保存配置文件,服务端支持socks5代理上线,加入下载更新功能,屏幕控制加入,黑屏,锁定等功能
2008/2/20 10:49 : 应大家要求,看了看江民2008的垃圾主动,连注册表都没,随便改了下服务端,过江民2008主动.其它有啥主动过不了的,抓图,我抽空解决
Gh0st问答:
2008/2/20 09:26 : 改了下服务端一些网络方面的东西,看对2003掉线情况是否有效,望大家测试,多谢了.
2008/2/21 15:43 : 服务端掉线问题,重启后不上线问题,测试版本,请大家测试
2008/2/22 19:47 : 解决重启后服务端不上线问题,加强对抗主动防御的功能
2008/2/23 17:11 : 全面优化了下服务端,加强稳定性,请大家测试
2008/2/23 19:03 : 修正视频监视的一个小BUG
2008/2/24 01:55 : 文件管理中加入本地和远程运行功能,优他了部分代码,旧版本不会上线,请用新版本
2008/2/24 12:56 : 修正文件管理中一个低级错误,下载更新的一个错误
2008/2/26 00:00 : 完美解决重复安装,重复上线问题,发布gh0st2.5,准备第二阶段的开发,重点在稳定,实用上....
声明下软件的安装方式:
如果安装时发现有相同配置的服务端已经安装过,就不安装也不删除,跟鸽子一个原理,我是靠字串区别的
2008/3/2 06:35 : 本着我写gh0st的初衷,一个共享,免费,的软件,到今天为止,算是对大家一个交代,新版本开发中,此版本开源..装上VC6,打造属于你们自己的gh0st吧..
本人不保留版权,任何信息,自由修改,多谢一直以来大家的支持,我会继续努力的
在此声明:此软件无作者,无版权,由此软件造成的任何不良后果与红狼无关,多谢!!!!
1:为什么服务端下线后,控制端没反应
答:控制端检测心跳包间隔为1分钟,过一分钟后,自然就下线了
2:下线后多长时间才能再上线
答:服务端断线重连间隔为1分钟
3:怎么找不到在哪控制屏幕,跟键盘的离线记录
答:在标题栏点右键,也就是系统菜单,就能看到
4:为什么有时会出现重复上线的问题
答:服务端发生异常,就会重新连接创建第二个连接,但是第一个连接已经断开了,控制端在其心跳超时的情况下,会删除
心跳超时为1分钟,也就是说,重复上线情况会持续一分钟,自然就没有了
5:有些大家提到的有些功能,为什么没有加上去
答:gh0st作者有自己的想法,自己的宗旨
6:提出建议或问题后多长时间能解决
答:偶以最快的速度,把gh0st做的专业,强大,稳定.
7: 如果做免杀???
答:服务端用ResourceHacker或者别的资源提取工具打开,会看到两个资源,分别是DLL文件和恢复SSDT的驱动,开始动手吧....
8:能不能加入系统服务管理的功能呢?
答:系统服务管理,注册表管理等这些,我感觉没必要加才不加的,服务管理sc就能搞定,注册表reg就搞定,服务端加这些函数,对免杀也有影响
9:希望能够加入服务端安装判断的功能,要不然连续运行两次,就上线两次。
答:现在服务端安装是共享模式,可以安装多个,上线多个,实际上不是重复上线,版本稳定后,服务端三种安装模式:独占模式,单一模式,共享模式,顾名思义的理解吧
10: ...虚位以待...
2011-12-12
5日精通CSS层叠样式表.chm
[CSS2.0.css3.0.DHTML.Ext.3.0.J2EE5.0.JavaScript.JPA注解参考.jQuery1.4.2_API.Spring2.5.sql.2.1.w3school.Struts2.1.8JavaAPI中文手册.Javascript特效大全(上册)].sql.2.1.chm
2011-03-08
multiCCL_f
特别说明:
本软件谢绝任何支持或使用3721(及及该公司其他产品如雅虎助手等)的人士使用。
multiCCL
by niu-cow in NE365
开发调试环境及工具 :
win2k+sp4
dev-cpp 4.992
Lcc_win32
MASM32 v9.0
Radasm
ollydbg 1.10
winHex 12.5
包含文档:
1. multiCCL_f.exe 文件特征码专用版
2. multiCCL_m.exe 内存特征码专用版
3. multiCCL_inj.exe 注入代码块内存定位专用版
4. memtest.exe 用作内存定位时加载dll或运行exe或向目标进程注入的辅助程序
(为了防止主程序被杀毒软件Kill,用了远程线程注入)
5. multiCCL_readme.txt 本说明文档
6. multiCCL原理图示.htm 基本原理图示
功能:
原来已有的 文件特征码定位功能 (对 PE文件 和 非PE文件)--此功能已较稳定
本版新增功能:内存特征码定位(对PE文件)---------此功能测试中
因为现在杀毒软件针对特征码定位器设置了某些干扰,最终决定把文件定位和
内存定位做成两个独立的部分。
其实代码基本一样的,只为方便日后的维护和升级。
-----------------------------------
......内存定位.重要提示.......
1.定位期间不要浏览任何放有病毒样本的文件夹
以免被杀毒软件的实时监控删掉
2. 现在打开杀毒软件的实时检测(保护级别在自定义中设置得严格些)
实时检测的执行动作可设置为:
a. 提示用户操作
b. 禁止访问并删除
推荐选 a ,千万不要选“仅禁止访问”,“隔离”也不要选
3. 当然也可以按提示手动扫描内存
执行动作设为“仅报告”或“提示用户操作”
只要杀毒软件报告检测结果就行了,不需要它删除或禁用什么
4. 防火墙不要监视远程线程
因为multiCCL为了避免主程序被杀毒软件kill,用远程线程加载样本
(另外,正在找有关驱动方面的资料)
------------------------------------
------------------------------------
现在重点测试内存特征码的定位功能。
通过后再添加。现在的界面也还有点马虎,用cmd界面也是为测试
方便,因为随时都可输出中间信息。
((听 tankaiha 一说还真不想写GUI界面了))
需要说明的问题是:
1. 开始定位一个样本时,如果发现样本目录中存在旧的记录文件,
程序会读取并认可 旧记录中的特征码。
如果想完全重新开始定位,应该先把旧的记录文件删除或改名,
之后再打开multiCCL 。
2. 输出目录里不要放置任何您想保留的文件,以免给您带来损失。
定位过程中将删除里面的一些文件。
另一个简单的做法是:先手动在样本所在目录下建一个名为
output 的子目录,然后在选择目录的对话框点
“取消”,这样输出文件就都放到这个output
目录下了。
3. 设置保护片段时,如果所保护的片段本身是独立的特征码,就会
导致定位失败,因为所生成的文件会全部被杀,而且一直如此。
所以在设置前,
先要确认所保护的片段不是独立的特征码。
v 0.100 beta 之后的版本用的是等分法,限制区域的优化效果,
对于文件特征码来说是很不明显的,
而对于内存特征码的定位还是比较明显的。
; 要注意的是,文件定位每次提醒杀毒时,一定要把识别出的文件全部删除,
否则程序会判断错误的。(内存定位就没关系了)
记录文件格式:
只要注意以下几个字段和键值就可以了:
[CharactorCodz]
;特征码总数
CharactorTotal=
;特征码的记录格式是 H_起始偏移_结束偏移_长度_……
;一般只要注意 起始偏移 结束偏移 就够了。记录的是文件偏移,
; 用十六进制表示
;特征码1
Codz1=
;特征码2
Codz2=
;……
;当OK=1时表示定位成功完成,ok=0表示定位没有完成
ok=
-----------
;文件定位的记录文件是 multiCCL_f_Log.txt
;内存定位的记录文件是 multiCCL_m_Log.txt
;都放在样本文件所在的目录下。
-----------
;看内存定位结果时,还有一个字段需要注意的:
[antiLocateCodz]
newCodz=1
OK=1
CharactorTotal=
Codz1=
Codz2=
……
;这是杀毒软件针对内存定位干扰码,( antiLocateCodz )
;定位不出内存特征码或修改内存特征码无效时,
;可以考虑修改入口点(修改代码或转移入口点),
;若以上修改还是无效,则试试修改干扰码。
;----------------------------
;另外也请看看更新记录,里面也有部分说明
;
; 同时也请帮助统计定位一个样本特征码所需的时间,大致记录下就行
; 结果请反馈到: http://vxer.cn/bbs/read.php?fid=9&tid=112&page=1
;-----------------------------------------------
;统计内容包括:
;--------
;基本信息: 哪种杀毒软件的XXX文件定位(病毒库版本XXXX)
;1 样本文件大小:
;2 总共定位出特征码片段的数量:
;3 总共需要杀毒软件扫描几次:
;4 定位总用时:
;5 定位结果评价: 基本可用/有较大偏差/很不可靠
;----------------------------------------------
;BTW: 本程序针对的目标是杀毒软件的复合特征码的定位,
当然也包括单一特征码了。
;免责声明:本程序只供学习,不得用于商业。本程序可能存在某些缺陷,
及其他可能隐含的问题,
使用中可能造成的一切后果,均由使用者自行负责。
如果您对此很在意则请勿使用。
;感谢您的测试,使用中请保留软件文档的完整,发现任何问题请到NE365的BBS上反馈。
;(借用一下NE365的空间 http://vxer.cn/bbs ,一并致谢NE365
;及各位网友的帮助和测试 ,大家多多支持NE365吧)
;
;特别说明:本软件谢绝任何支持或使用 3721 的人士使用。
niu-cow
2006-05-22
---------------------------------------------
大致上找到了特征码没完没了的原因了
很可能是因为保护区域设置得过大,其中含有相当数量的隐含病毒特征,
导致启发式扫描的极高的实现机率。 实际测试中也发现当没有设置保护区域时,
定位出的特征码就很有限。
看来,设置合理的保护区域,对于定位是非常重要的,
尤其是针对“启发式扫描”(NOD32称之为“高级智能侦测模式”)的定位。
尽管以上只是猜测,不过本人认为这下被猜中了。
niu-cow
2006-05-31 20:08
----------------
在tanknight(myCCL的作者)的BLOG上看到NOD32定位的有关讨论,据说定位
精度太高时,对NOD32的定位往往失败。一般控制在8--16字节为宜。
依照这个原理增加了个控制定位精度的模块,重复的现象有所减少,但
问题好象还没有解决。
niu-cow
2006-06-10 17:04
------------------------------------------------------------------
------------------------------------------------------------------
更新历史:
v 1.150 (当前版本)
1.解决了memtest.exe被杀时,主程序的SendMessage无法返回的问题
2.为注入型的提升权限(只有当拥有Administrators以上权限时才起
作用)
这样就可以注入某些系统进程。
注:本版的memtest.exe、memtiCCL_m.exe、multiCCL_inj.exe
和之前的版本均无法兼容,不要混用。
2006-11-29
v 1.140
1.修正了第一次生成Except.txt(用于设置保护区域定位精度等)时,
未能生成完整的模板,导致很多使用者第一次使用时无所适从,
2.将内存定位的一个容易引起误解的“判断……”改为“将判断……”
(以上两处BUG感谢网友woaicomputer等的反馈)
3.增加了定位注入数据块的特征码的功能(主要用于对付flux等)
方法是:a 想办法从内存中抓取注入的数据块
(这个要自己想办法)
b 用multiCCL_inj.exe处理数据块并注入了目标进程,
结合杀毒软件扫描内存,进行判断定位
注:memtest.exe 再次升级,以适用于multiCCL_inj.exe
2006-11-15
v 1.130 (仅针对内存定位模块)
1.改变EXE的加载方式为创建进程(原来用LoadLibrary)
2.增加对保护区域设置的检测,这样加载失败的机率更少
(本版的 multiccl_m.exe 和 memtest.exe 与过去的版本不兼容)
2006-11-5
v 1.120 (仅针对内存定位模块)
因为有的杀毒软件监视远程线程,用注入法要先关闭这个监视
感觉这样有些麻烦,改用发消息让宿主程序主动加载
( 此版的 multiccl_m.exe 和 memtest.exe 得配合使用了)
2006-10-23
v 1.110 (仅针对内存定位模块)
有网友(无涯)反馈说内存定位时有问题
发现问题的系统是WIN2003
本人在WIN2K+SP4下测试未发现问题
从出错截图看,问题很可能在杀进程的函数
检查源代码,只发现一个进程句柄没有及时关闭,修正了这个函数,
作为试探性修改,看看问题是否解决。
2006-07-14
v 1.100 :
1- 修正了处理干扰码的方式,并在记录中用~~作标记,或许有点用。
(注:干扰码也可能是特征码的一部分)
2- 修正了定位头端时的还原方式。
3- 生成文件时增加一秒停顿。
这个版本的两处修正都只是试探性的修改。
2006-07-04
v 1.010 :
仅修正了内存定位的模块,使其生成的文件数更少(定头端时)
这样每轮加载次数最多35次,绝大多数时候是28次
(尾端20次,头端8次)
文件定位仍用v 1.000版
2006-06-20
v 1.000 :
从本版本开始,已经是正式版了~~~~
1- 记录文件文件名中 包含了样本文件名,以有所区别,
感谢pipapi的建议。
2- 增加了一个控制定位精度的功能。
具体是在Except.txt文件中改变dwX的值
当dwX=1 时精度为一字节(最高),如果存在旧的Except.txt
则请自行增加这个字段,如下(前后都不要有空格):
[dwX]
dwX=1
降低精度的目的是减少一些干扰(如NOD32的启发式扫描),
经实际测试发现仍然无法完全避免。
(一般降为 12-16 字节左右为宜,dwX的值用十进制)
保护区域设置的合适一些,不要太大才是最重要的。
2006-06-09
v 0.120 beta:
1- 实际使用中发现,杀毒软件的“启发式扫描”
(NOD32的称“高级智能侦测模式”的扫描速度实在慢,
为提高效率,减少每次生成文件的数量,
当然多扫一遍了(以 1 MB 计算)。
这样一来,对磁盘空间的需求也减少了一半。不过现在
的硬盘都很大,不会在乎这点的。
此修正针对文件定位(也包括内存定位前的干扰码定位)
2- 提示音作了细小的调整。
2006-05-31
v 0.110 beta:
1- 增加了内存定位功能(二分法),这样每定位一处特征码
最多只需加载64次(其中定尾端20次,头端32次)
2- 修正了卸载方式。
3- 彻底屏蔽限制点区能。
4- 文件定位仍使用 v 0.100 beta 版
2006-05-25
v 0.100 beta:
1- 修正了winXP下当软件路径带空格时出错的问题,
感谢 最近的星球 的测试和反馈
2- 改用了等分法(原来用二分法),效率提高明显。
测试过程中发现的一个偶然的错误却解决了算法中的一个
细节问题,进一步提高了效率(与理论效率相比)
激动ing ,每次最多可能生成64个文件
使用新版本时,把旧版本的记录文件重命名或删除吧,
以免造成潜在的冲突。
3- 增加了定位限制点的功能,就是说只定位限制点之前的部分
且直接从此点开始,
限制点之后的所有数据都将被随机数据串填充。
若需要保护某区数据,请与保护区域配合使用。
限制点的格式为 8 位的十六进制值,以表示文件偏移。
且只当标志设为1时起作用,限制标志为0时不起作用。
特别说明: 这个功能只是预留,目前测试表明没什么用处。
目前的版本只有文件定位功能,就不要使用限制点了。
4- 使用新算法的multiCCL版本号从 v 0.100 beta 开始。
目前只有文件定位功能。先测试BUG。
2006-05-22
v 0.017 beta-p:
再次作一小的修正,因为发现和卡巴对0.012版类似干扰,
这次是别的杀毒软件了,也不清楚原理是什么,干脆连
同干扰码一起定位了,这样还省心些。
(以后前面冒出的干扰码就不怕了,
今后的升级只要应付覆盖区冒出的干扰码就行了)
本BUG系astronomer反馈,致谢
2006-05-18
v 0.017 beta :
再次修正随机数据的生成方式,修正的效果有待测试
因为定位NOD32对彩虹桥英文1.02版的文件特征码时
发现有干扰。(感谢yxrx的测试)
2006-05-18
v 0.016 beta-p:
1-修正一个针对已找出的特征码的覆盖方式,
因为针对ewido定位时,发现特征码不断地“往前长”,
看看更改后能否通过。
(只为只是小的修正,界面上仍标识为 v 0.016 )
感谢 honhon 的测试和反馈。
2-用LCC_win32+RadAsm重写宿主程序(内存定位用),体积
更小了。
2006-05-16
v 0.016 beta :
1-修正了随机数据串的生成方式
(感谢abc27的针对NOD32的测试)
2=修正了其他已发现的次要的BUG。
2006-05-13
v 0.015 beta :
1-增加了内存定位的功能,为防止加载样本时被杀毒软件关
闭,启动了一个靶程序,用远程线程注入到宿主进程
2-当样本文件所在目录存在旧的记录文件时,程序将读取旧
记录文件中所记录的已定位出的特征码,并认可这些特
征码。
新增这个功能主要是考虑到有些杀毒软件的特征码片段
的数量很大,每次从头再来显然太浪费时间了。
尤其是相对烦琐的内存定位,万一中途意外中断,
丢弃之前的结果从头再来是不可容忍的。
3-修正了一些已发现的BUG(比较次要,不影响使用)
4-针对杀毒软件的干扰做了些应对性的改变。
2006-04-30
v 0.014 beta :
1-改用随机数据串填充,因为发现有的杀毒软件用检测填充
0来反定位(他们动作蛮快的哈)
2-把记录文件放到要定位的样本文件所在的目录下了,因为
考虑到以后杀毒软件可能会检测改写记录文件来反定位,
和输出文件放在一起不妥。
3-修正了一处因优化中带来的定位重复造成失败的BUG
感谢frip反馈
4-增加了保护片段(或区域设置),这是为了对付NDD32这类
关联输入表的特征码。(设置方法软件会有提示的)
(此功能效果有等测试,感谢111111113提供有关针对NDD32的建议)
因为此版修复和更新相对较大,就跳到0.014 版了,本来想写内存定位的,
不过这两天忙于对付杀毒软件的反定位,内存定位就留到下个版本了。
(其实很想休息几天的,有点累)
2006-04-24
v 0.012 alpha :
1-修正了记录中特征码长度多出一个字节的错误。
( tandaiha发现 )
2-当发现特征码片段的长度超过32byte时,就取这32位作为片段结果
反正只要篡改片段里的任何一个字节就行,定出这么长就够了,
发现有的杀毒软件的取样片段(如卡巴斯基 vs AngleShell )
的长度有点不可思议,硬要找出片段的头端简直是浪费时间。
所以,在分析定位结果时,特征码片段的尾端一般是精确的,
当片段长度 <32bytes(记录中用的是十六进制的20) 时,
头端也是精确的,否则头端可能还在更前面。
反正记录结果对于修改来说,已经够用了。
2006-04-22
v 0.011 alpha : 重新排列了按键及暂停,便操作更简洁
2006-04-21
v 0.010 alpha : 原始版本,算法调试基本通过
2006-04-21
2010-10-19
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人