点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#1 飓风“鬼影”样本 已上传微点和360safe
飓风(鬼影)可kill市面上已知的所有主流杀毒软件
无限复活(利用国外黑帽子大会内部公布的Bootkit技术实现程序无限复活+超级隐藏)
前言:众所周知,目前市面上的所谓无限复活无外乎几种:1、感染所有EXE文件或者带有PE格式的文件,或指定感染一些常用的软件如QQ、迅雷等 这种方式看上去还是不错的,实际上这类感染方式反倒会让马儿死的更快,感染全盘EXE首先就得开N多个线程去查找PE格式的文件会严重的影响系统速度占用大部份系统资源;而感染实际上很难解决几个问题,带有数字签名的EXE无法感染,加壳,压缩,加密的EXE无法感染,带有自效验的EXE无法感染,不但不可以感染反倒会破坏文件; 而且杀毒软件也会对EXE文件进行检查!而且PE感染大部份情况下都会让EXE的ICO图标失真,当年的熊猫烧香之所以用它自己的图标就是因为无法解决图标失真问题!总之EXE感染是最SB的方式了。2、加Autorun.inf 也就是在每一个盘上加自动运行,这些方式不管你是木马还是正规软件杀毒软件一律都会报毒,而且有一点电脑常识的人都知道检测这东西。以上说的也就是目前市面上所谓的无限复活技术了!
飓风无限复活技术采用了当前市面上从未有过的另类复活技术MBR感染(主引导区感染),都知道硬盘在分区时都会有开一个引导区用于加载系统,而国外黑帽子黑客大会内部公布的Bootkit技术代码也是目前全世界最稳定的MBR感染技术,它支持WINDOWS XP;WINDOWS 2003;WINDOWS VISTA WINDOWS7 而且高效稳定,不会出现破坏MBR导致系统无法进入的问题,MBR感染后无论你如何与格式化硬盘或者重新安装系统马儿都会随着系统自动加载起来,而被引导加载的马儿存放的位置也不是放在哪一个分区磁盘里,通常情况下硬盘在分区时都会预留一部份空间出来用于存放一些缓存文件,而且这个空间是隐藏的,包括杀毒软件都无法对这个分区进行扫描,我们的原木马将存放在这个位置,一旦马儿被杀,或者系统重装或格式化了所有分区,那么只要重启计算机感染在MBR里的引导代码将会从硬盘的预留空间里调用马儿重新运行,除非这台计算机没有系统或者重新分区否则马儿永远都会无限复活!
(注:测试得出 在原版安装装下系统会自动重建MBR也就是说是无法实现这种情况下的重装复活,但使用原版盘安装系统有几乎没有了,大部份情况下包括电脑城的装机员在内为了图方便都是使用Ghost快速装机版本,而在Ghost快速装机系统下包括、电脑公司装机版、雨林木风、番茄花园、深度技术、萝卜家园等不同的Ghost系统下 包括GHOST备份系统等 不重新分区的前提下 就算是格式化系统盘再装系统或者恢复系统等软件也可以自动复活!)
Kill杀毒软件 ByPass主动防御
Kill杀毒软件没什么稀奇的,不论使用了什么技术都没什么,最重要的就是可以干掉杀毒软件就行!这里我也就不介绍KILL杀软的技术了,目前可以过的杀毒软件包括“卡巴2010”,“瑞星2010”,“江民2010”,“NOD32”,“金山2010”,“360安全卫士+保险箱+360杀毒”其它的杀软没怎么测试,我们使用的技术比较底层而且比较通用相信大部份杀毒软件都是可以KILL的!映像劫持了杀毒软件的某一个部位只要被KILL了杀毒软件也就再也无法启动了(这里要说明的是我们劫持的技术目前来说还没有人使用过,就算你改进程名什么什么都是无法启动的!并且目前可以Kill 360安全卫士 360杀毒 江民的下载者几乎少之又少,飓风则可kill市面上已知的所有主流杀毒软件,使用系统漏洞加载驱动,均可在任何杀软下无提示加载我们的驱动)
四:下载者功能
1、无限循环下载 2、不通过文件系统解析系统完全找不到软件的痕迹,3、任何杀毒软件都找不到我们的文件(超级隐藏)无文件、无进程、无DLL、连驱动加载了任何类似冰刃的软件里都看不到我们的驱动是否有加载。4、强大的.Net开发的统计后台,包括主后台、推广员后台分级系统,变异算法动态扣量,深层过滤MAC号.IP地址,硬盘序列号 相同的IP 相同的MAC号 相同的硬盘序列号都不会重复统计 完全杜绝刷量的行为5、超强的数据上报加密技术、配置文档加密技术 自动清空系统缓存 就算抓包也无法得到上报接口,下载地址、文件等!
后记:飓风软件推出的飓风下载者使用的技术完全可以说是2010年及具颠覆意义的一款超强功能的下载者,我们没有使用太多的花哨功能,实际上有了以上几大功能下载者已经非常强大,存活率也可以说是可以达到很高比率了!我们无意和别人的软件去比功能的多少,我们只比实用性,通用性,稳定性。每个开发此类软件的人都有自己的想法和方式这些我们不去评说,如果诸位觉得我们的软件不如别人功能多那么你大可以去买别人功能多的,当然如果有一些功能是非常必要的那么请告知我们,作者也将会酌情考虑加上这些功能!
穿还原(全中国唯一利用硬件接口直接解析文件系统的穿还原技术)
前言:众所周知目前市面上的大部份穿还原技术都是从系统层面有针对性进行穿透有Ring0内核级穿还原也有Ring3应用层穿还原,这种穿还原技术都是采用针对系统漏洞与还原软件漏洞还实现穿透,但一旦还原软件升级则穿透必然失效,飓风下载者完全摈弃以往机器狗穿还原的技术,从硬件接口入手直接解析文件系统实现了通用性极强的还原穿透!经过测试在无驱动防火墙前题下可穿透一切还原软件以及还原卡!而且不必担心还原软件是否升级的问题,我们针对的不是还原软件漏洞,而是MS提供的系统与硬件通信的接口!试想还原软件再强大,还原保护再强大,它也不可能摈弃与系统通信,更不可能脱离系统平台,故无论还原软件与还原卡如何升级都无法躲避硬件级直接解析文件系统的还原穿透!以下是经过测试可穿透的还原列表:
<1>.网维大师(顺网)全系列还原软件(包括最新版,无驱动防火墙,驱动防火墙目前正在尝试解决);
<2>.讯闪全系列还原软件(包括最新版)
<3>.快速还原(包括最新版)
<4>.易速还原(包括最新版)
<5>.极速还原(包括最新版)
<6>.贝壳还原(包括最新版)
<7>.雨过天晴(包括最新版)
<8>.影子系统(包括最新版)
<9>.胜天还原(包括最新版)
<10>.冰点还原(包括最新版)
<11>.还原精灵(包括最新版)
<12>.小哨兵还原卡
<13>.三茗还原卡
<14>.方正磁盘保护器
<15>.360还原保护,大部份防狗补丁,所有品牌电脑公司还原保护(如联想、DELL、SONY、三星等品牌)。
(注:因为使用了硬件接口技术必须解析文件系统,目前我们支持的文件系统格式非常全面,但唯一不包括SISC接口,SISC硬盘价格昂贵一般都是大型服务器使用,所有购买的普通用户电脑、公司电脑、网吧电脑、使用的全部都是串口或并口(ATA或SATA)硬盘所以不存在兼容性问题!当然了不是说SISC接口硬盘就不能使用下载者功能而只是无法实现穿透罢了。如果在测试时使用了虚拟机,那么请在新建虚拟机时选IDE接口方式安装系统进行测试!否则有可能测试无法通过!真机情况下不存在测试失效的问题,另外因为时间的原因我们测试的还原软件都是比较主流的还原软件网络上能搜集到的也就是这么些个还原软件能购买到的还原卡类的也就是这几个,当然也有一些不怎么知名的还原软件没有去测试作者也没有这么多的时间和精力去挨个测试,如果列表里没有的还原客户可以自己去下载测试,理论上说通过硬件接口直接解析文件系统的技术还没有任何还原软件和还原卡无法穿透的!)
[ Last edited by 点饭的百度空间 on 2010-3-17 at 19:25 ]
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
2010-3-17 17:17 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2010-3-17 17:24 |
|
饭桶小白
高级用户
积分 558
发帖 556
注册 2009-5-9
|
#3
就看看那个李铁军怎么说~~
| |
※ ※ ※ 本文纯属【饭桶小白】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-3-17 18:02 |
|
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#4 飓风(鬼影)可kill市面上已知的所有主流杀毒软件
一:穿还原(全中国唯一利用硬件接口直接解析文件系统的穿还原技术)
前言:众所周知目前市面上的大部份穿还原技术都是从系统层面有针对性进行穿透有Ring0内核级穿还原也有Ring3应用层穿还原,这种穿还原技术都是采用针对系统漏洞与还原软件漏洞还实现穿透,但一旦还原软件升级则穿透必然失效,飓风下载者完全摈弃以往机器狗穿还原的技术,从硬件接口入手直接解析文件系统实现了通用性极强的还原穿透!经过测试在无驱动防火墙前题下可穿透一切还原软件以及还原卡!而且不必担心还原软件是否升级的问题,我们针对的不是还原软件漏洞,而是MS提供的系统与硬件通信的接口!试想还原软件再强大,还原保护再强大,它也不可能摈弃与系统通信,更不可能脱离系统平台,故无论还原软件与还原卡如何升级都无法躲避硬件级直接解析文件系统的还原穿透!以下是经过测试可穿透的还原列表:
<1>.网维大师(顺网)全系列还原软件(包括最新版,无驱动防火墙,驱动防火墙目前正在尝试解决);
<2>.讯闪全系列还原软件(包括最新版)
<3>.快速还原(包括最新版)
<4>.易速还原(包括最新版)
<5>.极速还原(包括最新版)
<6>.贝壳还原(包括最新版)
<7>.雨过天晴(包括最新版)
<8>.影子系统(包括最新版)
<9>.胜天还原(包括最新版)
<10>.冰点还原(包括最新版)
<11>.还原精灵(包括最新版)
<12>.小哨兵还原卡
<13>.三茗还原卡
<14>.方正磁盘保护器
<15>.360还原保护,大部份防狗补丁,所有品牌电脑公司还原保护(如联想、DELL、SONY、三星等品牌)。
(注:因为使用了硬件接口技术必须解析文件系统,目前我们支持的文件系统格式非常全面,但唯一不包括SISC接口,SISC硬盘价格昂贵一般都是大型服务器使用,所有购买的普通用户电脑、公司电脑、网吧电脑、使用的全部都是串口或并口(ATA或SATA)硬盘所以不存在兼容性问题!当然了不是说SISC接口硬盘就不能使用下载者功能而只是无法实现穿透罢了。如果在测试时使用了虚拟机,那么请在新建虚拟机时选IDE接口方式安装系统进行测试!否则有可能测试无法通过!真机情况下不存在测试失效的问题,另外因为时间的原因我们测试的还原软件都是比较主流的还原软件网络上能搜集到的也就是这么些个还原软件能购买到的还原卡类的也就是这几个,当然也有一些不怎么知名的还原软件没有去测试作者也没有这么多的时间和精力去挨个测试,如果列表里没有的还原客户可以自己去下载测试,理论上说通过硬件接口直接解析文件系统的技术还没有任何还原软件和还原卡无法穿透的!)
二:无限复活(利用国外黑帽子大会内部公布的Bootkit技术实现程序无限复活+超级隐藏)
前言:众所周知,目前市面上的所谓无限复活无外乎几种:1、感染所有EXE文件或者带有PE格式的文件,或指定感染一些常用的软件如QQ、迅雷等 这种方式看上去还是不错的,实际上这类感染方式反倒会让马儿死的更快,感染全盘EXE首先就得开N多个线程去查找PE格式的文件会严重的影响系统速度占用大部份系统资源;而感染实际上很难解决几个问题,带有数字签名的EXE无法感染,加壳,压缩,加密的EXE无法感染,带有自效验的EXE无法感染,不但不可以感染反倒会破坏文件; 而且杀毒软件也会对EXE文件进行检查!而且PE感染大部份情况下都会让EXE的ICO图标失真,当年的熊猫烧香之所以用它自己的图标就是因为无法解决图标失真问题!总之EXE感染是最SB的方式了。2、加Autorun.inf 也就是在每一个盘上加自动运行,这些方式不管你是木马还是正规软件杀毒软件一律都会报毒,而且有一点电脑常识的人都知道检测这东西。以上说的也就是目前市面上所谓的无限复活技术了!
飓风无限复活技术采用了当前市面上从未有过的另类复活技术MBR感染(主引导区感染),都知道硬盘在分区时都会有开一个引导区用于加载系统,而国外黑帽子黑客大会内部公布的Bootkit技术代码也是目前全世界最稳定的MBR感染技术,它支持WINDOWS XP;WINDOWS 2003;WINDOWS VISTA WINDOWS7 而且高效稳定,不会出现破坏MBR导致系统无法进入的问题,MBR感染后无论你如何与格式化硬盘或者重新安装系统马儿都会随着系统自动加载起来,而被引导加载的马儿存放的位置也不是放在哪一个分区磁盘里,通常情况下硬盘在分区时都会预留一部份空间出来用于存放一些缓存文件,而且这个空间是隐藏的,包括杀毒软件都无法对这个分区进行扫描,我们的原木马将存放在这个位置,一旦马儿被杀,或者系统重装或格式化了所有分区,那么只要重启计算机感染在MBR里的引导代码将会从硬盘的预留空间里调用马儿重新运行,除非这台计算机没有系统或者重新分区否则马儿永远都会无限复活!
(注:测试得出 在原版安装装下系统会自动重建MBR也就是说是无法实现这种情况下的重装复活,但使用原版盘安装系统有几乎没有了,大部份情况下包括电脑城的装机员在内为了图方便都是使用Ghost快速装机版本,而在Ghost快速装机系统下包括、电脑公司装机版、雨林木风、番茄花园、深度技术、萝卜家园等不同的Ghost系统下 包括GHOST备份系统等 不重新分区的前提下 就算是格式化系统盘再装系统或者恢复系统等软件也可以自动复活!)
三:Kill杀毒软件 ByPass主动防御
Kill杀毒软件没什么稀奇的,不论使用了什么技术都没什么,最重要的就是可以干掉杀毒软件就行!这里我也就不介绍KILL杀软的技术了,目前可以过的杀毒软件包括“卡巴2010”,“瑞星2010”,“江民2010”,“NOD32”,“金山2010”,“360安全卫士+保险箱+360杀毒”其它的杀软没怎么测试,我们使用的技术比较底层而且比较通用相信大部份杀毒软件都是可以KILL的!映像劫持了杀毒软件的某一个部位只要被KILL了杀毒软件也就再也无法启动了(这里要说明的是我们劫持的技术目前来说还没有人使用过,就算你改进程名什么什么都是无法启动的!并且目前可以Kill 360安全卫士 360杀毒 江民的下载者几乎少之又少,飓风则可kill市面上已知的所有主流杀毒软件,使用系统漏洞加载驱动,均可在任何杀软下无提示加载我们的驱动)
四:下载者功能
1、无限循环下载 2、不通过文件系统解析系统完全找不到软件的痕迹,3、任何杀毒软件都找不到我们的文件(超级隐藏)无文件、无进程、无DLL、连驱动加载了任何类似冰刃的软件里都看不到我们的驱动是否有加载。4、强大的.Net开发的统计后台,包括主后台、推广员后台分级系统,变异算法动态扣量,深层过滤MAC号.IP地址,硬盘序列号 相同的IP 相同的MAC号 相同的硬盘序列号都不会重复统计 完全杜绝刷量的行为5、超强的数据上报加密技术、配置文档加密技术 自动清空系统缓存 就算抓包也无法得到上报接口,下载地址、文件等!
后记:飓风软件推出的飓风下载者使用的技术完全可以说是2010年及具颠覆意义的一款超强功能的下载者,我们没有使用太多的花哨功能,实际上有了以上几大功能下载者已经非常强大,存活率也可以说是可以达到很高比率了!我们无意和别人的软件去比功能的多少,我们只比实用性,通用性,稳定性。每个开发此类软件的人都有自己的想法和方式这些我们不去评说,如果诸位觉得我们的软件不如别人功能多那么你大可以去买别人功能多的,当然如果有一些功能是非常必要的那么请告知我们,作者也将会酌情考虑加上这些功能!
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
|
2010-3-17 19:21 |
|
rockyu
注册用户
积分 193
发帖 185
注册 2008-12-31
|
#5
恐怖的毒啊,微点能防就行,扬名的时候来了
| |
※ ※ ※ 本文纯属【rockyu】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-3-17 20:45 |
|
飞机小虎队
注册用户
积分 115
发帖 115
注册 2010-2-17
|
#6
微点不知道现在能识别这个病毒的没,命名没
| |
※ ※ ※ 本文纯属【飞机小虎队】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-3-17 21:11 |
|
星光HEAVEN
中级用户
积分 494
发帖 492
注册 2009-8-3
|
#7
关注。
| |
※ ※ ※ 本文纯属【星光HEAVEN】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
期待主防2.0! |
|
|
|
2010-3-17 22:51 |
|
