2024年3月12日发(作者:)

MD5碰撞算法伪装木马,躲过杀毒软件查杀,加入360白名单。MD5碰撞发生器v1.5,

fastcoll_,MD5CollisionGeneratorv1.5,根据王小云教授的算法写的MD5碰撞的程序。

快速MD5碰撞生成器,王小云改进版。这个生成器根据“构造前缀碰撞法”可以生成两个不同的文

件,而这两文件的md5sum却是一样的。

构造前缀碰撞法可制作两个内容不同但具有相同MD5验证码的文件。

----------------------------------------------------------------

刚才在看到个帖子,内容如下(内容有修改,去除了一些不重要的回帖):

楼主:

年前购买了一个免杀远*,300¥一个月,免杀效果确实牛B,过国内外主流杀软,在手3个

月都没杀,大概5月份360更新后要提示了,然后联系客服更新,这样陆陆续续更新了几次,

效果都很好,9月底,360更新后全部杀了,然后联系客服,客服说以前的技术被360分析出

来了,然后让我们等待2周时间,那边技术在研发新的技术,国庆节后客服发过来一个更

新的远*,我测试以后都过,在360进程查看器和网络连接查看都提示文件安全,但过了一

天360又报文件为木马文件,我再次联系客服,客服让等1个小时,所技术正在解决,然后

一个小时后,360又不杀了,提示安全(注:马还是以前的马,没有更新过,MD5这些都是一

样的!)

难道远控的技术和360!!!,

求解!!!

楼主:

我想了解的是为什么360杀了,然后一个小时后,同样的文件360又不杀了,其他什么认

证,地下工作者我就不想去了解了

路人甲:

二种可能360内部人卖马,360被日了

路人乙:

1.360内部人卖马

2.360被日了

傻了?

路人丙:

360收黑钱,不干人事,鉴定完毕。

还有你把这个马发别人那看杀不

楼主:

回复路人丙

都不杀,已经测试过了

路人丁:

万一是远控的云端也在做某种远程更新呢?不能说MD5不变,就是有JQ,无凭无据。

路人戊:

exe的MD5不变,不代表exe肯定不下载新的DLL或其他的模块吧?

本人回复:

应该是认证环节被人有空子可钻。。

本人回复:

我认为,最有可能的是认证环节,也就是360的白名单认证制度。

前提条件是,360是使用标准MD5值进行程序唯一性验证。

但MD5有个问题就是,碰撞算法,可以产生两个MD5相同、但功能不相同的程序。

把正常的程序提交上去后,让360认证,认证完毕,加到白名单,另外那个也“免杀”了。

据我所知,一年前(实际上是2005年左右的)出了一个东西,自动生成一样MD5值的程序

的工具。

而且貌似支持根据指定程序生成一个一样MD5值的程序。

如果360不是使用标准MD5的话,其他算法也有此可能。

本人回复:

MD5Test_:与B的MD5相同,但功能不同。

MD5Test_:与A的MD5相同,但功能不同。

---------------------------------------------

MD5Test_: