RAT结构解析.docVIP

RAT结构解析 稍微详细的讲述一下 Bifrost，Flux，PoisonIvy 的结构 ??? 只说RAT结构演变，其他技术不讨论…… 自从Bo出世后。大量的RAT相继出现…… 国内熟悉的，冰河，黑洞，PcShare，灰鸽子等…… 国外熟悉的 Bifrost，Flux，Assasin，Beast，Bandook，Institution，PoisonIvy 等…… 相继有自己的特色，包括程序结构，出现了许多令人惊叹的东西…… [1] 结构简介： 第一代：-EXE独立结构 相对应的，C/S架构：EXE -- EXE 都是EXE的，比如说冰河，黑洞，几乎第一，二代RAT都是。 第二代：DLL分体结构 这代的DLL纯粹是为了穿墙而设计…… 利用 Inject Code -- LoadLibrarA 完成DLL载入。 或者注册表，消息钩子等等…… 第2.5代：Plugin 型架构 插件结构的RAT大部分功能…… 说到插件型RAT，国内只有灰鸽子之流做出这样的东西。 而且纯粹是摆设…… 当然还有FWB++ DLL映射注入，相信大家知道 FilePacker，Alloy，MoleBox，PEBundle，将DLL映射到EXE空间里，然后修改导入表跳转地址…… 这样做到了无需加载DLL(其实DLL是映射到EXE空间了) FWB++ 就是这么玩～，乎乎～ Tequila Bandita 就是采用 DLL Stream Inject 的，国内使用的比较少…… 关于插件的RAT，做的最绝的要属 Spirit 系列。 那几乎完美的体积，强悍的代码注入方式，包括代码优化整合，PE结构的使用。 早就了 Spirit4b1 那 1.37k的体积，(API Hash有哪些信誉好的足球投注网站(写的太Cool了)，LZO压缩引擎，RT32注入引擎.) 他主要是采用代码注入方式，然后再传输 DLL 插件。 第三代：代码注入类型 这个技术类似病毒技术，将病毒体代码写入host文件…… 再进程注入方面，既然可以写 LoadLibraryA 函数。 为什么就不能写入所有代码呢…… 技术难点：代码，数据重定位问题…… 还有数据的地址获取等等，一些这样那样的问题…… 当然在乎编程者，其实这些都很容易解决…… 第3.5代： NT核心下可以让你使用ProcessHack技术了…… 替换代码，傀儡进程等等都是类似技术 综上所述，现在的RAT无外乎这几种形态…… 那我说了半天究竟要说什么？我说的是木马的框架结构…… 下面小议一下木马存在形态…… [2] 形态介绍： //-------------------------------------------------- 冰河： 单纯的EXE，WIn9x下将自己注册成系统服务隐藏进程…… 黑洞，Nuclear Rat，灰鸽子，Spook，风雨江湖，小熊那东东…… 都是采用第二代形式…… EXE+DLL…… 这代体积都比较庞大…… 不管是什么消息钩子 下面主要说说，Bifrost，Flux，Poison Ivy 吧，国内的没啥意思，请原谅我的无理…… 本文说的是框架，聊的是自己敢兴趣的东西…… 相信也有的朋友对 Bifrost，Flux，Poison Ivy 能这么小的体积感兴趣。 Flux，Bifrost，Poison Ivy 其实都是采用FWB+技术…… 但是他们都有一个共通点…… 这里算上，C-One V1.0(Caecigenus) Caecigenus 好牛的，别的不知道，至少他，法文，English，中文都会说…… x140d4n 说他是中国人？还是华人？？？ C-One 和 Flux 类似，但是编码技术不如 Gargamel 来的 Cool…… Flux，Bifrost，Poison Ivy，C-One 都是前 EES，现在的 ChaseNET 的作品。 [1] C-One 比较简单，先说一下吧： 1.安装自己 2.注入到默认浏览器 浏览器路径由 HKEY_CLASSES_ROOT\HTTP\shell\open\command 获取 由于他没有使用RT32或者EliRT组件库 所以这个RAT不支持Win9x 注入方式也很简单. VirtualAllocExVirtualProtectExWriteProcessMemoryCreateRemoteThreadWaitForSingleObject 协议包也很简单（简单的令人发狂，速度慢得要死，还弄了一个既算加密又不算加密的加密算法） [2] Flux，Bifrost 采用的是原始结构，佩服 Gargamel，ksv 的毅力 居然可以把这么多代码直接用VC写出来，完全代码注入…… 和上面的C-One一样，注入方式不过二者都使用了 EliRT 1.01。 不过为了防止被跟踪他们都是先将