免杀跟过主动防御收藏

2024-02-08 12:18
文章标签 收藏 免杀 主动防御

本文主要是介绍免杀跟过主动防御收藏,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一。免杀1。最简单的:加壳Svkp,Pelock,Telock,Asprotect等等牛壳,或者一些私人壳如免役007之类的,虽然方便,但免杀效果不一定好,因为现在杀毒会把壳的特征当病毒或者把加壳后的特征也收录,而且加壳的不能用于内存代码注射2。手工免杀用CCL一类的定位 工具定位出特征码,不同的杀毒的特征录入是不一样的,而且不止一处,所以免杀是体力活;然后逐一 修改定 位出来的特征码,例如修改入口(代码),插**代码(最简单的就是狂插nop),定位,指令的等效交换,修改字串,call或jmp的多次跳转,移动输 入,输出,重定位表,强改pe结构,SMC(代码自修改)大法等等,根据不同类型的指令有不同的修改法,baidu,google是最好的老师;3。封装自 己写个外壳,把黑洞服务端封装起来,在这个外壳里,你可以完成注册服务,注射进程等等你想到的安装功能,只要完成安装,然后把黑洞的服务端在内存运行,就 可以上线了;这样的话杀毒查到的只是外壳文件而不是黑洞本身的服务端,省了一大堆的免杀工作,就算外壳被杀,你只要在代码里加点**代码打乱一下原有的 16进顺序,就可以免杀了,前提是你会编程二。过主动防御1。修改时间,这个只能过咔吧的主动防御,而且现在有360的时间补丁,咔吧失效也会有提示框,提示声音;方法很多,批处理,vbs,写封装外壳的时候加进去;2。模拟点击,也是针对特定的主动防御,处理静音,找到警告窗体的句柄,按钮等,然后sendmessage去点击它同意运行,缺点是不同版本,系统语言不同的时候句柄按钮都不同,要写很多的判断,而且有人说新的咔吧好象拦截了这种向它发送的信息3。恢复SSDT恢 复SSDT上主动防御挂钩的函数(用icesword查看一下SSDT表就明白了),就是脱钩,因为主动防御是挂钩那些函数来捕获消息的,脱钩后主动防御 完全接收不到黑洞或者系统所有的消息,等于瞎了聋了,自然也就不能对黑洞的动作做出判断或者提示,所以你想干什么都可以了还有一种就是你也去挂钩底层函数,修改函数入口跳转,过滤掉你的消息后再跳回来,咔吧也就看不到你的动作了这种方法要求系统底层编程,要写驱动的4。感染文件启动万不得以的方法,感染文件然后在文件启动的时候完成黑洞的启动,然后才启动原来的文件,需要对抗咔吧的文件检查,完整性检查,系统的WFP,SFC,DEP等等,而且文件加壳的情况也要考虑a。经典感染方式pe感染都一样的,都是添加代码,然后修改入口为你添加代码的开始,执行完添加的代码后跳回原入口特点:宿主体积会增加,入口会改变等等蛛丝马迹,但感染后还是完整的(相对b来说);b。添加导入函数方式添加一个导入函数,宿主会主动加载你的dll;特点:比较隐蔽,宿主体积和入口可以不变,但宿主是不完整的,没你的dll跑不起来PS:以上的感染都是技术要求比较高的感染,而且现在最麻烦的就是dep保护,没有很好的解决方法。c。现在流行的方式,写个stub,把宿主附加到它后面,替换原文件;特点:技术要求低,目前很多XX加壳就是这样写的,称为非经典壳,更接近捆绑工具,在自己写的stub里想干什么都可以,甚至带个图标,例如烧香的熊猫

这篇关于免杀跟过主动防御收藏的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/691006

相关文章

收藏:解决 pip install 出现 error: subprocess-exited-with-error 错误的方法

在使用 pip 安装 Python 包时,有时候会遇到 error: subprocess-exited-with-error 错误。这种错误通常是由于 setuptools 版本问题引起的。本文将介绍如何解决这一问题 当你使用 pip install 安装某个 Python 包时,如果 setuptools 版本过高或过低,可能会导致安装过程出错,并出现类似以下错误信息:error: subpr

AI产品经理:ai产品经理从零基础到精通,非常详细收藏我这一篇就够了

在互联网的浪潮中,AI人工智能领域无疑是最引人注目的风口。AI产品经理,作为这一领域的新兴岗位,以其高薪、低压力、无年龄限制等优势,吸引了众多互联网从业者的目光。随着GPT等AIGC工具的兴起,AI产品经理的市场需求日益增长。 AI产品经理需不需要懂算法?🤔‍‍‍ AI产品经理不必像算法工程师那样精通算法,但必须能够与算法工程师有效沟通,了解如何管理AI项目,协调项目资源。 成功转行AI产

火狐浏览器重置密码后收藏的标签密码等数据被清除

火狐浏览器重置密码后收藏的标签密码等数据被清除 最早接触火狐是因为当时开发前端页面,firebug是当时最好用的前端调试工具。 用了很多年,最近因为一次重置密码,把我10几年的收藏数据全都清空了。还无法找回… 现在大部分web应用都要求使用chrome,比如在线文档、在线的office等,可是我还一直坚持使用火狐浏览器。 只是因为当初的先入为主,一直还坚持使用火狐浏览器,这次的遭遇让我丢失10年

828华为云征文|部署电影收藏管理器 Radarr

828华为云征文|部署电影收藏管理器 Radarr 一、Flexus云服务器X实例介绍1.1 云服务器介绍1.2 应用场景1.3 性能模式 二、Flexus云服务器X实例配置2.1 重置密码2.2 服务器连接2.3 安全组配置 三、部署 Radarr3.1 Radarr 介绍3.2 Docker 环境搭建3.3 Radarr 部署3.4 Radarr 使用 四、总结 一、Flexu

193页PPT读懂《数字化转型方法论》,强烈建议收藏!

点击上方蓝色字体,选择“设为星标” 回复”面试“获取更多惊喜 国云CEO马晓东写了本《数字化转型方法论》的书,这篇文章是明东亮用PPT形式写成的一篇读书笔记,体系化程度是很好的,主要阐述了数字化转型八个方面的内容: 1、为何数字化转型 2、何时数字化转型 3、什么是数字化转型 4、是否该数字化转型 5、谁来负责数字化转型 6、如何数字化转型 7、数字化转型利器 8、数字化转型案例 有时间可以读

新兴专业网络安全专业就业前景怎么样?有哪些就业去向?零基础入门到精通,收藏这一篇就够了

该专业主要培养掌握计算机科学和网络空间安全基础知识、基本理论和技术,具备网络空间安全领域前沿研究、技术研发和应用能力,兼学网络安全治理等专业知识,具有较好国际视野,拥有创新性能力的专门性人才。 主要专业课程:程序设计、计算机组成原理、数据结构、操作系统原理、数据库系统、计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情

2024 年 Python 学习路线推荐,附学习书籍,学习视频(建议收藏)

文章目录 一、前言二、Python 简介2.1 Python 的优点2.2 Python 的缺点2.3 Python 的主要应用领域 三、Python 就业前景为什么 Python 不适合找工作?学习目标 四、Python 学习路线4.1 Python 核心语法4.2 开发环境4.3 Python 教程4.4 视频教程4.5 学习书籍 五、Python 学习资料 大家好,今天为大

网络安全主动防御技术原理与应用

入侵阻断技术与应用 入侵阻断:网络安全主动防御的技术方法 基本原理:对目标网络攻击行为进行阻断 入侵防御系统(IPS) 基本原理:根据网络包特性及上下文进行攻击行为判断老控制包转发 工作机制:类似路由器或者防火墙,但能够检测攻击行为,并能阻断入侵行为 缺点:IPS具有防火墙和入侵检测等多种功能,且受限于网络中所处位置,需要解决网络通信瓶颈和高可用性问题 IPS实现方式: 基于ASI

使用Xcode收藏自己常用的代码模板

当你觉得某段代码很有用,可以当作模版的时候,将其整块选中, 拖动到xcode右下角的code snippets区域中即可(长按拖动)。xcode会自动帮你创建一个新的代码片段。 之后你可以单击该代码片段,在弹出的界面中选择edit,即可为此代码片段设置快捷键等信息。 如果有些地方你想让用户替换掉,可以用 <#被替换的内容#> 的格式。 这样在代码片段被使用后,焦点会自动移到该处,你只需要连贯的键

大模型产品经理学习路线,2024最新,从零基础入门到精通,非常详细收藏我这一篇

随着人工智能技术的发展,尤其是大模型(Large Model)的兴起,越来越多的企业开始重视这一领域的投入。作为大模型产品经理,你需要具备一系列跨学科的知识和技能,以便有效地推动产品的开发、优化和市场化。以下是一份详细的大模型产品经理学习路线,旨在帮助你构建所需的知识体系,从零基础到精通。 一、基础知识阶段 1. 计算机科学基础 数据结构与算法:理解基本的数据结构(如数组、链表、树、图等)和