v校:关于白名单文件劫持与和谐启动的那些事儿~
2012-11-03 15:06
281 查看
首先要找到那个Exe和那个dll,对dll做劫持,然后打包在一起,然后呢,你懂得,释放文件到XX去,然后用bat文件复制大法复制过去~
然后最重要的事情就是和谐启动,首先你要知道只有从explorer启动来的xxx才是和谐的XX~于是通过ws的各种消息各种XX(vbs啊,bat啊综合应用,鼠标模拟啊,按键啊,发消息啊),最后从explorer启动了~但是你丫还是不能加载驱动~这怎么办?怎办办啊?其实很简单劫持的DLL直接修改OEP(CrtMain什么的,自己找一下偏移直接hook吧~) jmp到自己的int NeverReturnWinMain()里~
然后你懂得~你可以在NeverReturnWinMain里创建线程XX去生成证书,安装证书为可信证书,然后用证书给sys和加载sys的exe签名,然后运行那个负责加载sys的exe~~~尼玛尼玛~~~
经测试无任何杀毒对此手法有拦截。
缺点是 体积巨大,庞大,尼玛的大~(话说这玩意有500KB吧~不过可以用压缩壳压缩~压缩后大小不大~但是有误报啊~)
不过可以把其他部分,比如那个exe,那个dll,那个sys,那个加载sys的exe都放在服务器上,通过动态download就好鸟~
PS:
杀毒软件拦截你就是你丫的行为不像人,你的行为越人化,它丫越不能拦截,它又不是网游不会弹验证码~~哈哈~
然后最重要的事情就是和谐启动,首先你要知道只有从explorer启动来的xxx才是和谐的XX~于是通过ws的各种消息各种XX(vbs啊,bat啊综合应用,鼠标模拟啊,按键啊,发消息啊),最后从explorer启动了~但是你丫还是不能加载驱动~这怎么办?怎办办啊?其实很简单劫持的DLL直接修改OEP(CrtMain什么的,自己找一下偏移直接hook吧~) jmp到自己的int NeverReturnWinMain()里~
然后你懂得~你可以在NeverReturnWinMain里创建线程XX去生成证书,安装证书为可信证书,然后用证书给sys和加载sys的exe签名,然后运行那个负责加载sys的exe~~~尼玛尼玛~~~
经测试无任何杀毒对此手法有拦截。
缺点是 体积巨大,庞大,尼玛的大~(话说这玩意有500KB吧~不过可以用压缩壳压缩~压缩后大小不大~但是有误报啊~)
不过可以把其他部分,比如那个exe,那个dll,那个sys,那个加载sys的exe都放在服务器上,通过动态download就好鸟~
PS:
杀毒软件拦截你就是你丫的行为不像人,你的行为越人化,它丫越不能拦截,它又不是网游不会弹验证码~~哈哈~
相关文章推荐
- 关于 keil mdk lpc2100 启动文件的思考
- linux-文件系统管理10-关于存储介质的那些事儿
- linux关于文件的那些事儿
- 关于Linux启动文件rc.local的解惑
- 关于Oracle10g二进制参数文件损坏不能启动Oracle实例的解决方法
- 一步一步学zedboard之二十一关于根文件系统无法启动的问题
- 关于请求的内容似乎是脚本,因而将无法由静态文件处理程序来处理。系统X64 IIS找不到 将“启动32位应用程序”改为“true”
- Android 关于NDK Clang3.4 编译可执行文件无法启动的问题
- 关于OPhone开发环境下重装ADT后无法找到库文件和无法启动模拟器的问题处理
- 关于Oracle10g二进制参数文件损坏不能启动Oracle实例的解决方法
- 关于bash的启动运行的文件
- 关于S3C2440编译好的bin文件烧到开发板后,启动nandFlash白屏问题
- 关于vs启动调试报错:CS0016: 未能写入输出文件“xxxxxxxx”--“目录名称无效。”解决方法
- 关于windows激活状态不可用,software protection服务启动时提示找不到文件的解决方法
- 关于 stm32 启动文件的总结
- 关于启动文件分析的(MDK-ARM) 【转】
- 关于H3C路由器、交换机跳过配置文件启动的问题
- 关于LPC2200启动程序分散加载描述文件的叙述
- MyEclipse关于Debug模式下不能启动JSP文件的问题解决方案集合
- 关于SuSE启动文件rc.local