v校:关于白名单文件劫持与和谐启动的那些事儿~

(68) 2024-04-09 12:01:01

首先要找到那个Exe和那个dll,对dll做劫持,然后打包在一起,然后呢,你懂得,释放文件到XX去,然后用bat文件复制大法复制过去~

然后最重要的事情就是和谐启动,首先你要知道只有从explorer启动来的xxx才是和谐的XX~于是通过ws的各种消息各种XX(vbs啊,bat啊综合应用,鼠标模拟啊,按键啊,发消息啊),最后从explorer启动了~但是你丫还是不能加载驱动~这怎么办?怎办办啊?其实很简单劫持的DLL直接修改OEP(CrtMain什么的,自己找一下偏移直接hook吧~) jmp到自己的int NeverReturnWinMain()里~

然后你懂得~你可以在NeverReturnWinMain里创建线程XX去生成证书,安装证书为可信证书,然后用证书给sys和加载sys的exe签名,然后运行那个负责加载sys的exe~~~尼玛尼玛~~~

经测试无任何杀毒对此手法有拦截。

缺点是 体积巨大,庞大,尼玛的大~(话说这玩意有500KB吧~不过可以用压缩壳压缩~压缩后大小不大~但是有误报啊~)

不过可以把其他部分,比如那个exe,那个dll,那个sys,那个加载sys的exe都放在服务器上,通过动态download就好鸟~

 

 PS:

杀毒软件拦截你就是你丫的行为不像人,你的行为越人化,它丫越不能拦截,它又不是网游不会弹验证码~~哈哈~

THE END

发表回复