資源共享吧|易語言論壇|逆向破解教程|輔助開發(fā)教程|網(wǎng)絡(luò)安全教程|rigasin.com|我的開發(fā)技術(shù)隨記

標(biāo)題: 零基礎(chǔ)入門學(xué)免殺(二) [打印本頁]
作者: 免殺愛好者    時間: 2020-2-21 20:33
標(biāo)題: 零基礎(chǔ)入門學(xué)免殺(二)

零基礎(chǔ)入門學(xué)免殺(二)

#0x00 簡介

上次分享的方法可以過大多數(shù)殺毒,但是依舊不能過部分殺毒,比如上次的火絨,其實最大的缺點就是自啟,其實自啟動的方式有很多,這次我拿最簡單的注冊表啟動項演示。一般的可執(zhí)行文件修改關(guān)鍵的系統(tǒng)注冊表是肯定會被殺毒軟件攔截的,但是你的軟件如果添加的有數(shù)字簽名,并且已經(jīng)列入白名單,殺毒軟件是不會攔截。買數(shù)字簽名太貴,但是如果我們利用dll劫持,白加黑文件就可以輕松的利用別人的數(shù)字簽名軟件運行我們的木馬。


#0x01 尋找白文件

白文件很多,但是有幾個條件,首先文件體積不能太大,dll依賴少,不同windows版本都可以運行,最最最重要的就是有數(shù)字簽名



#0x02 尋找dll

使用ProcessMonitor查看程序所加載的DLL,可以看到第一個調(diào)用的就是edudll.dll

我就拿這個dll開始搞事情吧

(, 下載次數(shù): 89)

用ida查看dll的函數(shù),根據(jù)名稱基本可以確定入口函數(shù)是AppMainEntry

如果不能確定就挨著試吧,要是大牛有更好的方法推薦一下


(, 下載次數(shù): 96)


接下來查看函數(shù)的偽代碼確定函數(shù)類型

(, 下載次數(shù): 84)
#0x03編寫測試dll

新建一個testdll.h

(, 下載次數(shù): 85)

新建一個testdll.cpp
(, 下載次數(shù): 85)


編譯之后把dll名字改為edudll.dll 然后和edudll.exe放在同一個目錄運行
(, 下載次數(shù): 81)

運行成功,說明可以劫持

#0x04 編寫白加黑文件

木馬部分把之前的shellcode加密解密直接復(fù)制過來就行

在前面加上寫啟動項

(, 下載次數(shù): 78)


編譯之后改為edudll.dll 運行   注冊表無攔截

(, 下載次數(shù): 77)

(, 下載次數(shù): 80)


(, 下載次數(shù): 91)



作者: 山里人進(jìn)城    時間: 2020-2-21 23:19
合成單exe 有提示修改注冊表



歡迎光臨 資源共享吧|易語言論壇|逆向破解教程|輔助開發(fā)教程|網(wǎng)絡(luò)安全教程|rigasin.com|我的開發(fā)技術(shù)隨記 (http://rigasin.com/) Powered by Discuz! X3.4