这篇博客记录了一种利用函数污染和参数替换技巧来绕过杀毒软件查杀的方法。作者通过改变调用函数和插入printf语句,使得杀毒软件无法准确定位特征码,从而成功避开了查杀。这表明在二进制级别的代码混淆和安全对抗中,深入理解汇编和二进制操作是必要的。
今天遇到一个情况,就是xx杀毒绕过过程经过如一系列步骤确定到查杀代码段
myfun();
导出函数 fun(){
_beginthread(myfun);
}
将_beginread反复更换其他调用函数_asm call或者::EnumWindowStationsW((WINSTAENUMPROCW)addr, NULL)来运行,都不行,之后通过printf("xxx")通过污染上下汇编函数,也就是加入printf后会大量的push入栈,导致杀毒软件特征码定位失败,成功绕过。记录一下,也就是说明需要二进制能力了。对各种asm等价替换还有上下函数反复调用进行参数污染。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
