随笔分类 - 免杀实践
摘要:一、参考文章和工具 https://paper.seebug.org/1413/ https://github.com/knownsec/shellcodeloader 二、shellcode的加载方式 将shellcode写入代码或者在资源中加载shellcode 通过文件读取的方式加载shell
阅读全文
摘要:一、从异常目录中读取函数调用地址(只适用于x64) 将NTDLL.dll映射到只读内存中,在调用之前将函数调用地址复制到可执行缓冲区,并执行。 参考文章和代码: https://modexp.wordpress.com/2020/06/01/syscalls-disassembler/ https:
阅读全文
摘要:一、参考文章 https://www.ddosi.org/bypass-0/ 二、静态查杀 文件复合特征码、内存特征码 主要扫描的特征段有:hash、文件名、函数名、敏感字符串、敏感api等等。(特征api的绕过) 对于内存免杀:可经过多重shellcode加解密绕过(没被杀软识别的算法),或者利用
阅读全文
摘要:一、使用如下命令参数 copy net1.exe aaa.txt && aaa.txt user test test /add copy net1.exe bbb.txt && bbb.txt localgroup administrators test /add
阅读全文
摘要:一、原理 使用Windows API可执行该操作 二、C++源代码 /* UNICODE */ #ifndef UNICODE #define UNICODE #endif /* 头文件 */ #include <stdio.h> #include <assert.h> #include <wind
阅读全文
