RAT结构解析.doc

RAT结构解析
稍微详细的讲述一下 Bifrost,Flux,PoisonIvy 的结构
    只说RAT结构演变,其他技术不讨论……
自从Bo出世后。大量的RAT相继出现……
国内熟悉的,冰河,黑洞,PcShare,***等……
国外熟悉的 Bifrost,Flux,Assasin,Beast,Bandook,Institution,PoisonIvy 等……
相继有自己的特色,包括程序结构,出现了许多令人惊叹的东西……
[1] 结构简介:
第一代:-EXE独立结构
相对应的,C/S架构:EXE --> EXE
都是EXE的,比如说冰河,黑洞,几乎第一,二代RAT都是。
第二代:DLL分体结构
这代的DLL纯粹是为了穿墙而设计……
利用 Inject Code --> LoadLibrarA 完成DLL载入。
或者注册表,消息钩子等等……
:Plugin 型架构
插件结构的RAT大部分功能……
说到插件型RAT,国内只有***之流做出这样的东西。
而且纯粹是摆设……
当然还有FWB++
DLL映射注入,相信大家知道 FilePacker,Alloy,MoleBox,PEBundle,将DLL映射到EXE空间里,然后修改导入表跳转地址……
这样做到了无需加载DLL(其实DLL是映射到EXE空间了)
FWB++ 就是这么玩~,乎乎~
Tequila Bandita 就是采用 DLL Stream Inject 的,国内使用的比较少……
关于插件的RAT,做的最绝的要属 Spirit 系列。
那几乎完美的体积,强悍的代码注入方式,包括代码优化整合,PE结构的使用。
早就了 Spirit4b1 那 ,(API Hash搜索(写的太Cool了),LZO压缩引擎,RT32注入引擎.)
他主要是采用代码注入方式,然后再传输 DLL 插件。
第三代:代码注入类型
这个技术类似病毒技术,将病毒体代码写入host文件……
再进程注入方面,既然可以写 LoadLibraryA 函数。
为什么就不能写入所有代码呢……
技术难点:代码,数据重定位问题……
还有数据的地址获取等等,一些这样那样的问题……
当然在乎编程者,其实这些都很容易解决……
:
NT核心下可以让你使用ProcessHack技术了……
替换代码,傀儡进程等等都是类似技术
综上所述,现在的RAT无外乎这几种形态……
那我说了半天究竟要说什么?我说的是木马的框架结构……
下面小议一下木马存在形态……
[2] 形态介绍:
//--------------------------------------------------
冰河:
单纯的EXE,WIn9x下将自己注册成系统服务隐藏进程……
黑洞,Nuclear Rat,***,Spook,风雨江湖,小熊那东东……
都是采用第二代形式……
EXE+DLL……
这代体积都比较庞大……
不管是什么消息钩子
下面主要说说,Bifrost,Flux,Poison Ivy 吧,国内的没啥意思,请原谅我的无理……
本文说的是框架,聊的是自己敢兴趣的东西……
相信也有的朋友对 Bifrost,Flux,Poison Ivy 能这么小的体