windows环境下的自保护探究

Drunkmars / 2022-05-18

我们要想在32位下实现进程保护很简单,通过SSDT hook重写函数即可实现,但是在64位系统下因为引入了PGDSE的原因,导致SSDT hook实现起来处处受限。但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤保护自身的进程,目前大部分64位下的安全软件保护机制都是基于该方法,我们深入进行探究

对抗无落地的shellcode注入

Drunkmars / 2022-05-11

一般的shellcode加载到内存都是通过LoadLibraryGetProcAddress来获取函数进行shellcode加载,亦或是通过VirtualAllocEx远程申请一块空间来放入shellcode的地址进行加载。为了隐蔽,攻击者通常会通过PEB找到InLoadOrderModuleList链表,自己去定位LoadLibrary函数从而规避杀软对导入表的监控。攻击者先把shellcode加密,在写入时解密存放到内存空间,使用基于文件检测的方法,是无能为力的,那么这种无落地的方式,最终都会在内存中一览无余。

通过嵌入x64汇编隐藏数据&反调试

Drunkmars / 2022-05-05

我们知道在x64里面,从3环进入0环会调用syscall,那么如果是32位的程序就需要首先转换为x64模式再通过syscall进入0环,这里就会涉及到一系列64位寄存器的操作,我们通过探究其实现原理来达到隐藏数据和反调试的效果。

浅谈hook攻防

Drunkmars / 2022-04-28

攻与防都是相对的,只有掌握细节才能更好的对抗。

构建API调用框架绕过杀软hook

Drunkmars / 2022-04-18

我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么我们如果不想杀软监控我们的行为,之前提过的内核重载是一种绕过的方式,但是内核重载的动静太大,这里我们就通过直接重写3环到0环的API,通过重写KiFastCallEntry来自己调用内核的函数,以达到规避杀软的效果。

Drunkmars

这个人很懒,没有留下任何介绍

twitter weibo github wechat

随机分类

企业安全 文章:40 篇
网络协议 文章:18 篇
木马与病毒 文章:125 篇
逆向安全 文章:70 篇
硬件与物联网 文章:40 篇

最新评论

你又不是她

感谢大佬分享1294571772@qq.com,同时是否能够分享下木马免杀学习路

gxh191

zgr!!!yyds

wh0Nsq

好激动

L

leveryd

S

StampWang

感谢大佬分享867724113@qq.com