Gh0st源码
文章平均质量分 87
Gh0st源码剖析
H-KING
学海无涯
展开
-
Gh0st源码学习(一)前期准备工作
1、安装 VC 6.0 2、安装最新SDK 包,并替换掉 VC 安装目录中相应文件夹 3、下载Gho0st 3.6 纯净版源友 4、 install.exe - 0 error(s), 0 warning(s) DAT gh0st.exe - 0 error(s), 0 warning(s) svchost.d转载 2015-05-26 17:48:24 · 1579 阅读 · 0 评论 -
gh0st源码分析:屏幕监控
这两天一直看gh0st源码,看得也是一头雾水,下面就分析一下屏幕监控的通信过程,对屏幕扫描算法以及绘图方面就不分析了,因为我也不懂。写的有点乱,就当作个笔记了。首先从控制端按下屏幕监控选项开始,这时控制端就会调用OnScreenspy()函数。这个函数很简单,向被控端发送COMMAND_SCREEN_SPY指令,告诉被控端我要监控你的屏幕了。此时被控端还在等待控制端的命令(ClientSo转载 2017-08-17 14:24:50 · 1547 阅读 · 0 评论 -
Gh0st源代码详细剖析
声明:首先声明,这篇文章完全是根据自己对gh0st源代码的理解写出来的,如果有理解上的偏差或者表述上的错误本人不负责,仅供参考!前言:在我刚学习gh0st源代码的时候,觉得这东西好难,三个工程放在一起不说,还有那么多文件,当时就懵了。这怎么看呢?从何下手呢?我想大部分刚学习gh0st源代码的同胞们都有和我一样的想法,我废话不多说了,下面就为大家详细讲解gh0st源代码。转载 2015-05-28 18:58:50 · 4012 阅读 · 0 评论 -
gh0st从VC6到VS2010迁移
Vs编译Gh0st修改的工作量还是挺大的,毕竟从VC6.0移植到VS2010平台,已经是一个很大的跨越了,VS2010相对于VC6.0也改进了不止一点了。Gh0st3.6使用了第三方界面库CJ60Lib,目前这个库只支持到VC6.0,而其后的版本已经商业化,所以使用VS2010编译Gh0st的时候,需要重新编译CJ60Lib。VS2010的自带安装的Windows SDK已经到了7.1版,也不需要转载 2017-08-15 11:18:28 · 2094 阅读 · 0 评论 -
“大灰狼”远控木马分析及幕后真凶调查
9月初360安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序。鉴于bt天堂电影下载网站访问量巨大,此次挂马事件受害者甚众,360QVM引擎团队专门针对该木马进行严密监控,并对其幕后真凶进行了深入调查。一、“大灰狼”的伪装以下是10月30日一天内大灰狼远转载 2017-10-24 16:17:36 · 10906 阅读 · 1 评论 -
木马开机启动的六种方法
木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,真是防不胜防。其实只要能够遏制住不让它启动,木马就没什么用了,这里就简单说说木马的启动方式,知己知彼百战不殆嘛。 一、通过"开始\程序\启动" 隐蔽性:2星 应用程度:较低 这也是一种很常见的方式,很多转载 2017-10-18 12:54:12 · 7531 阅读 · 2 评论 -
C/C++添加设置任务计划
//////////////////代码测试N小时,呵呵~~在硬盘已经睡了好久////// VC++ 6.0 + SP6编译成功/////////#include #include #include #include #pragma comment(lib,"NETAPI32.LIB")void Jobadd(){DWORD JobId;AT_INFO ai;char *转载 2017-10-14 21:23:00 · 6566 阅读 · 0 评论 -
编程实现木马的ActiveX启动和注入IE的启动方式
木马的启动方式有很多种,现在比较流行的就是注册为系统服务启动(只适合Windows 2000以上的系统),或者以驱动的方式启动。不过,最近以ActiveX方式启动又比较流行了,因为它适合Windows 9x或2000以上的机器,而且杀毒软件(比如瑞星、江民、金山等)基本不会去监视这种启动方式,比较隐蔽。以ActiveX方式启动的木马国外的比较多,于是就到网上查找相关代码,发现了RECUB。转载 2015-08-16 19:10:39 · 1005 阅读 · 0 评论 -
“白加黑”远控木马技术分析及手杀方案
“白加黑”是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段。本文将针对此类病毒做了一个简单技术介绍和案例演示。所谓的“白加黑”,笼统来说是“白exe”加“黑dll”,“白exe”是指带有数字签名的正常exe文件,那么“黑dll”当然是指包含恶意代码的dll文件。病毒借助那些带数字签名且在杀毒软件白名转载 2017-12-13 11:18:25 · 9500 阅读 · 1 评论 -
白加黑木马开发思路
原文链接:https://bbs.pediy.com/thread-178628.htm一、什么是白加黑 白就是此文件在杀软的白名单中,不会被杀软查杀;黑就是我们的恶意代码,由自己编写。通常白黑共同组成木马的被控端,最大限度的逃避杀软查杀,增强抗杀能力,而且方便免杀处理。一般情况下白为exe(带有签名),黑为dll或者其他,当然黑可以分成多部分。二、白加黑木马的结构 1.Exe转载 2017-12-13 09:53:34 · 5351 阅读 · 0 评论 -
Gh0st 3.6 存在的BUG及修改方法(收集整理)
以下贴出代码全部为修改后的---------------------------------------------------------------------------------------------------------------------------------1.拖放文件上传和下载时,有选择目标目录的话,可能会使目录重复修改CFile转载 2017-08-17 10:45:01 · 1328 阅读 · 0 评论 -
硬盘锁---MBR病毒
unsigned char scode[] ="\xb8\x12\x00\xcd\x10\xbd\x18\x7c\xb9\x18\x00\xb8\x01\x13\xbb\x0c""\x00\xba\x1d\x0e\xcd\x10\xe2\xfe\x49\x20\x61\x6d\x20\x76\x69\x72""\x75\x73\x21\x20\x46\x75\x63\x6b\x20\x转载 2015-06-11 18:08:09 · 5093 阅读 · 3 评论 -
gh0st去硬盘锁
这几天闲来无事,下载了个gh0st源码,由于刚开始没有仔细看是否去了硬盘锁,差点整个硬盘都费了。gh0st硬盘锁是源码的作者为了保护版权而设置的,如果我们直接更改版权会造成硬盘被锁,中了硬盘锁的后果是非常严重的,特别是你电脑里有重要数据的时候,这样会导致你电脑里的数据全部丢失! 如果你没去硬盘锁,又改了版权,那么打开gh0st控制端后会一闪就关闭了,这样就是中硬盘锁了,中了硬盘锁转载 2015-05-26 14:38:31 · 1150 阅读 · 0 评论 -
Gh0st源码学习(二)去除硬盘锁和驱动
一、去除硬盘锁 GH0st硬盘锁是源码的作者为了保护版权而设置的,如果我们直接更改版权会造成硬盘被锁 中了硬盘锁的后果是非常严重的,特别是你电脑里有重要数据的时候,这样会导致你电脑里的数据全部丢失! 1、搜索 unsigned char scode[] = 位置:\Gh0st3.6原版\gh0st\gh0st.cpp(220):unsigned char sco转载 2015-05-26 17:53:35 · 1838 阅读 · 0 评论 -
Gh0st源码学习(三)生成DLL和DAT文件
从生成的EXE文件中分离出DLL和DAT 文件一、自定义DLL和DAT文件的生成路径 先搜索 IDR_BSS 、 IDR_DLL 1、 IDR_DLL 位置:\Gh0st3.6原版\Server\install\install.cpp(418): ReleaseResource(NULL, IDR_DLL, "BIN", strModulePath,转载 2015-05-26 17:58:35 · 2314 阅读 · 0 评论 -
gh0st源码分析与远控的编写(一)
再过几天期末考试了,还有好多要复习。。蛋都快碎了。最近在看老狼的gh0st内核编程,想了很久要不要写文章,最后还是觉得很有必要,原因过一会讲。 先送上老狼的gh0st无加密(lxe格式)视频下载地址: http://phith0n.400gb.com/u/29415/3193732 其中包含的gh0st源码(乱七八糟的被我的卡巴斯基杀过一遍,仅仅是源码):http:/转载 2015-05-28 18:12:43 · 3962 阅读 · 1 评论 -
gh0st源码分析与远控的编写(四)
真的很久很久了,距离上一次写gh0st的文章(http://www.leavesongs.com/C/gh0st_3.html),过去有大半年了。总算有一个时间,我放下手里所有的活,能够继续把这份努力延续下去。 以后对于gh0st的文章,就是一个一个模块的分析。原本gh0st就是由很多功能组成的一个强大的远控,但有些东西并不是功能越强大越好。我们到最后,会做一个gh0st的精简,留下最重转载 2015-05-28 18:45:59 · 2130 阅读 · 0 评论 -
gh0st源码分析与远控的编写(二)
上次说了那么多,基本上就是一个叫“大局观”的东西,只有脑子里有了一个软件的设计、运行思路,才能把一个一个类写出来,组合在一起。Gh0st的作者是一个对代码有很好掌控的人,他对代码的组合,类之间的关系,面向对象的思想有很深入的理解。而对我们看源码的人来说,这种结构化、条理化的程序,阅读起来十分轻松,思路也十分清晰。废话不多说,我们今天来看一下gh0st的上线。所谓上线,就是我们被控端启动起来转载 2015-05-28 18:15:37 · 4986 阅读 · 0 评论 -
gh0st源码分析与远控的编写(三)
好久不见。距离上次写gh0st来有好久了,一是期末考试,忙不开,二是后来电脑坏了,几天没能上网。 昨天总算是把电脑修好了,虽说没到一切重头开始的地步,但是也重装各种东西花了很久。闲下来的时间,我就来继续分析gh0st的源码吧。 上次我们把gh0st的上线给研究了一下,跟着老狼的视频,继续我们的步伐。开始实现gh0st中具体的功能。最简单的一个是“终端管理”,就是一个cmdshe转载 2015-05-28 18:16:33 · 3054 阅读 · 0 评论 -
gh0st支持win7和win8
打开server的until.cpp文件.在最后面#endif的上面加上下列代码 DWORD _stdcall LaunchAppIntoDifferentSession( LPTSTR lpCommand ) { DWORD dwRet = 0; PROCESS_INFORMATION pi; STARTUPINFO si; DWO转载 2015-06-29 23:09:15 · 3300 阅读 · 0 评论 -
\sdk\include\wspiapi.h(47) : error C2265: '<Unknown>' : reference to a zero-sized array is illegal 解
今天,编译了Gh0st源码发现个错误,原来是我VC6有问题哟,呵呵百度、csdn都去了,终于解决了!不敢独享,特来分享..编写IP多播程序时,要用到ip_mrep结构,在编译时会遇到如下的错误: \sdk\include\wspiapi.h(47) : error C2265: '' : reference to a zero-sized array is illegal转载 2015-08-10 12:46:50 · 843 阅读 · 0 评论 -
C++源代码免杀之函数的动态调用
最近也在学着修改Gh0st远控的源代码,源代码免杀起来还是方便、简单、有效和简单点。针对于输入输出表盯的比较紧的杀毒软件,最有效的还是进行函数动态调用。也就是说找到函数的原定义,包括值类型和参数等等,再在调用该函数的地方重新定义这个函数,其实也只是改下函数名而已,下面举个例子:CreateRemoteThread 作用是创建远线程,假设杀毒软件现在就杀在这个函数上,我们就这样处理,首先在代转载 2015-10-02 11:42:19 · 2852 阅读 · 0 评论 -
判断程序是否运行在虚拟机中的代码
首先我们要了解一下什么是虚拟机, 对虚拟机的通用解释是通过软件模拟的具有完整硬件系统功能的, 运行在一个完全隔离环境中的完整计算机系统. 通过虚拟机软件, 你可以在一台物理计算机上模拟出一台或多台虚拟的计算机, 这些虚拟机就像真正的计算机那样进行工作, 例如你可以安装操作系统, 安装应用程序, 访问网络资源等等. 对于你而言, 它只是运行在你物理计算机上的一个应用程序, 但是对于在虚拟机中运行转载 2017-12-08 10:53:32 · 5478 阅读 · 0 评论