我:“今天是最经典的[灰鸽子 VIP 2005 Build 0725]的5岁生日!向老前辈致敬。”
小伟:“……”
我:“嗯。。。是这样的。。。”
我:“那是灰鸽子最经典的版本。那个年代没有主动防御,没有360,生成的G_Server.exe直接加一层NsPack就过卡巴瑞星。”
小伟:“那个我玩过。”
小伟:“我种马的年代……”
我:“但是辉煌的历史一去不复返了。从那以后这种public的木马都开始走下坡路。”
小伟:“对Rootkit感兴趣也是从鸽子开始的。”
我:“真怀念那个时候啊~没主动防御的~免杀都是加壳加花~大家都把无壳免杀奉为神物。关键位置改NOP加jmp到新加节完事跳回来的经典手法也不复存在了。”
小伟:“CCL~OC~ZeroAdd~”
我:“是的。不过后来流行多重特征码,内存特征码,两处特征码距离超近。所以MyCCL登场了。我为了定位灰鸽子的那十几处特征码,搞一天。。。还不能出错。。。貌似我还保留了大量txt。。。都是历史的见证啊。。。”
小伟:“那个时候的VMP也是很无敌的~”
小伟:“其实我不是很喜欢鸽子。”
我:“还有PESpin、ASProtect。。。FSG刚出来那时候也是超无敌的~~~”
我:“我对黑洞无爱。。。对PcShare有好感。。。”
我:“灰鸽子我也不是很喜欢,但是玩得很顺手。。。”
小伟:“PESpin,带DebugBlock的神奇小壳,抽代码能力很强。加入某XX的面试题就是这个。”
小伟:“太大了。”
我:“嗯,体积是个问题。不过后来也是灰鸽子拉开了国产木马插件流的序幕。”
小伟:“这个就不知道了~”
我:“2005 0725带进程隐藏的。就是插taskmgr然后过滤ZwQuerySystemInformation。”
小伟:“还有文件隐藏和服务隐藏。都很容易检测……不过那个时候确实觉得很神奇。”
我:“我们看着木马一步一步长大。从自己的进程到插explorer.exe到主动起iexplore.exe到gh0st的svchost.exe。貌似这几年没什么新花样了。某些变态的就是驱动流。”
小伟:“灰鸽子当初的注入方式也是值得学习的。ZwUnmapXxxx”
我:“不管怎么样,灰鸽子那些隐藏可以对付一般用户。不用第三方工具诸如IceSword是很难检测出来的。所以一时间让网上那些手工查杀教程都失效了。。。”
小伟:“嗯…我曾经想写过鸽子的插件呢。。”
我:“经典的物体还有[阿拉QQ大盗](TmdQQ)、广外幽灵、流光(4.71版最经典,后来出了5.0Beta就没下文了)~~~”
小伟:“阿拉我知道,广外很老的了。流光没咋用。”
我:“我还用过Flux,应该算是非常早期的RAT雏形。非常灵巧,使用了非常先进的启动方式,ActiveX和BHO形式。国外的~”
小伟:“那个时候就有ActiveX了?强大啊!”
我:“老外的东西都很强大的~~~”
小伟:“还记得fu_rootkit么”
我:“我隐约记得[冰狐浪子网马生成器]。。。”
小伟:“fu_rootkit经典啊。。。”
小伟:“入门经典~”
我:“各种exe捆绑机,图标替换工具。拿来搞同学,乐此不疲。”
小伟:“话说当初的捆绑器很烂。如果当初我知道MoleBox的话,就好了。”
我:“貌似都是一个模子刻出来的。。。无一例外的附加数据恶心死了。。。其实WinRAR是最好的捆绑机。。。”
小伟:“RAR要修改啊~嘿嘿~”
我:“我要去洗澡了。我决定把这段对话的匿名版放上我的BLOG。让大家怀旧。。。”