资源共享吧|易语言论坛|逆向破解教程|辅助开发教程|网络安全教程|www.zygx8.com|我的开发技术随记

 找回密码
 注册成为正式会员
查看: 1608|回复: 1

[免杀] 零基础入门学免杀(二)

[复制链接]

5

主题

8

帖子

0

精华

新手上路

Rank: 1

资源币
15
积分
20
贡献
0
在线时间
2 小时
注册时间
2020-2-21
最后登录
2020-5-3
发表于 2020-2-21 20:33:40 | 显示全部楼层 |阅读模式

零基础入门学免杀(二)

#0x00 简介

上次分享的方法可以过大多数杀毒,但是依旧不能过部分杀毒,比如上次的火绒,其实最大的缺点就是自启,其实自启动的方式有很多,这次我拿最简单的注册表启动项演示。一般的可执行文件修改关键的系统注册表是肯定会被杀毒软件拦截的,但是你的软件如果添加的有数字签名,并且已经列入白名单,杀毒软件是不会拦截。买数字签名太贵,但是如果我们利用dll劫持,白加黑文件就可以轻松的利用别人的数字签名软件运行我们的木马。


#0x01 寻找白文件

白文件很多,但是有几个条件,首先文件体积不能太大,dll依赖少,不同windows版本都可以运行,最最最重要的就是有数字签名



#0x02 寻找dll

使用ProcessMonitor查看程序所加载的DLL,可以看到第一个调用的就是edudll.dll

我就拿这个dll开始搞事情吧

6.png

用ida查看dll的函数,根据名称基本可以确定入口函数是AppMainEntry

如果不能确定就挨着试吧,要是大牛有更好的方法推荐一下


7.png


接下来查看函数的伪代码确定函数类型

8.png
#0x03编写测试dll

新建一个testdll.h

9.png

新建一个testdll.cpp
11.png


编译之后把dll名字改为edudll.dll 然后和edudll.exe放在同一个目录运行
12.png

运行成功,说明可以劫持

#0x04 编写白加黑文件

木马部分把之前的shellcode加密解密直接复制过来就行

在前面加上写启动项

13.png


编译之后改为edudll.dll 运行   注册表无拦截

14.png

15.png


16.png



回复

使用道具 举报

3

主题

82

帖子

0

精华

终身高级VIP会员

Rank: 7Rank: 7Rank: 7

资源币
16
积分
85
贡献
0
在线时间
33 小时
注册时间
2019-8-9
最后登录
2023-9-5

终身VIP会员

发表于 2020-2-21 23:19:03 | 显示全部楼层
合成单exe 有提示修改注册表
回复 支持 反对

使用道具 举报

 点击右侧快捷回复  

本版积分规则

小黑屋|资源共享吧 ( 琼ICP备2023000410号-1 )

GMT+8, 2024-11-22 02:57 , Processed in 0.052010 second(s), 14 queries , MemCached On.

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表