免杀小方法-释放不完整的动态库文件

恶意软件注入技术剖析

最新推荐文章于 2024-06-10 22:16:11 发布

最新推荐文章于 2024-06-10 22:16:11 发布 · 87 阅读

本文详细解析了一种恶意软件的注入技术，包括从自身资源释放动态库文件、通过标识字段判断完整性并修复、将动态库文件移动到system32目录并更名、创建远程线程注入explorer以及通过复制rundll32.exe并加载特定导出函数。

1.从自身资源释放不完整的动态库文件AA.temp 和 BB.temp到临时目录

2.从自身文件末尾读取标识字段并判断标识的完整性，从自身读取内容修改动态库AA.temp BB.temp使之完整

3.把AA.temp和BB.temp移动到 system32目录并改名为 msctfime.iem和dbr.ocx

4.创建远程线程把msctfime.iem注入到explorer

5.把 system32\rundll32.exe 复制为 gbv.exe 创建进程以命令方式用dgv.exe加载 dbr.ocx中的导出函数

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

iteye_3055

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

网络靶场实战-免杀技术之dll注入技术详解

蛇矛实验室

12-19

1724

对于 Windows 操作系统，操作系统的大部分功能都是由 DLL 提供的。此外，当您在这些 Windows 操作系统上运行程序时，该程序的大部分功能可能由 DLL 提供。例如，一些程序可能包含许多不同的模块，程序的每个模块都包含在DLL中并分布在DLL中。DLL 的使用有助于促进代码的模块化、代码重用、有效的内存使用和减少磁盘空间。因此，操作系统和程序加载速度更快，运行速度更快，并且在计算机上占用的磁盘空间更少。当程序使用 DLL 时，称为依赖性的问题可能会导致程序无法运行。

Shellcode免杀，绕过360安全卫士、火绒安全、腾讯管家

qq_1873822的博客

08-22

2万+

前言分享一个傻瓜式直接套用大佬的框架进行shellcode免杀，自己还是萌新还需要学习很多东西，大佬们不喜勿喷杀毒原理 360、腾讯电脑管家、火绒剑、金山毒霸、瑞星等等，这几个杀毒软件领头羊，现在的杀毒软件都无法脱离三个部分，扫描器、病毒库、虚拟机。然而一个杀毒软件做的是否好用，最主要的还是扫描器的速度、准确率以及病毒库是否庞大。 1.基于特征码的静态扫描技术这种技术很容易被人想到，所以第一代的杀毒软件出现了，他们的杀毒思想就是，我只要匹配到特征字符串就可以判断出来这个文件是一个病毒。但这种方法在当今

参与评论您还未登录，请先登录后发表或查看评论

Delphi函数动态调用实现免杀

weixin_30852419的博客

11-21

136

Delphi 源码免杀之函数动态调用实现免杀的下载者自己编译这份代码看看过N多杀软没什么技术含量只是发出来给不懂的人入入门也防止有新人老是来问 ShellApi,URLMon 单元 //Delphi动态调用API函数 procedureTForm1.Button1Click(Sender:TObject); var SourceFile:ansist...

C++源代码免杀之函数的动态调用

04-28

C++源代码免杀之函数的动态调用最近也在学着修改Gh0st远控的源代码，源代码免杀起来还是方便、简单、有效和简单点。针对于输入输出表盯的比较紧的杀毒软件，最有效的还是进行函数动态调用。也就是说找到函数的原定义，包括值类型和参数等等，再在调用该函数的地方重新定义这个函数，其实也只是改下函数名而已，下面举个例子：

【免杀】C2远控-Loader加载器-动态API调用

最新发布

qq_55349490的博客

06-10

888

绕过杀毒对导入表的检测定性。

[源码]Delphi源码免杀之函数动态调用实现免杀的下载者

weixin_30437337的博客

03-09

246

[免杀]Delphi源码免杀之函数动态调用实现免杀的下载者2013-12-30 23:44:21 来源：K8拉登哥哥's Blog 自己编译这份代码看看过N多杀软没什么技术含量只是发出来给不懂的人入入门也防止有新人老是来问 ShellApi,URLMon 单元 //Delphi动态调用API函数 procedure TForm1.Butto...

超级马甲0.2.3vc版：免释放免杀过360带保险箱功能

VC编译生成的二进制文件通常具有较小体积、高效运行的特点，且易于进行壳处理、加花指令、API调用混淆等操作，这正是免杀技术中常用的手法。 “不释放小马甲”是一个关键的技术特性，意味着该工具在运行时不将原始...

感染全盘EXE文件的免杀捆绑器技术解析

感染全盘EXE文件免杀捆绑器是一种特定类型的恶意软件开发工具，其核心功能是通过感染系统中的可执行文件（EXE）来实现恶意代码的传播与隐藏，同时具备一定的免杀能力以规避杀毒软件或安全检测机制的识别。...

DLL中嵌入并释放EXE的完整工程示例

“在DLL中释放EXE”这一主题涉及Windows平台下高级编程技术中的多个核心知识点，涵盖了动态链接库（DLL）的使用、资源嵌入与提取、可执行文件（EXE）的释放机制、二进制注入原理以及Windows应用程序的加载流程。...

由函数指针变量组成的数组（实现免杀动态调用的基础）

byteway的专栏

12-11

1328

C 语言使用由函数指针变量组成的数组, 简单模拟虚函数表调用方式

免杀技术有一套（免杀方法大集结）

hackzkaq的博客

05-23

7642

零基础学黑客，搜索公众号：白帽子左一 00. 概述什么是免杀？来自百科的注解：免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），逐字翻译为“反-反病毒”，翻译为“反杀毒技术”。有本比较有名的书，想详细学习的同学可以去看看。《黑客免杀攻防》其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法，有没有效果，试试就知道了。 01. 简介免杀大概可以分为两种情况：二进制的免杀（无源

免杀小结-

ZxC789456302的博客

09-26

6869

先来假设一下报毒过程,对于PE文件的检测，如果在CODE位置存在标志A，在DATA位置存在标志B，在资源位置存在标志C，同时满足这三个条件，那么杀软就会报毒，VirTest工作原理就是要找到引起报毒的最后一个标志，也就是C。最后，终极修改方法，找到访问数据的代码，直接修改代码访问数据的地址，数据也可以放到其他地址了，其实就如同修改源码一样修改，肯定没有修改源码那么容易（见后）。使用ResHacker对文件进行资源操作，找来多个正常软件，将它们的资源加入到自己软件，如图片，版本信息，对话框等。

分析NSIS打包的恶意软件思路和实例

jentle8的博客

09-26

1391

NSIS一般思路

pyinstaller编译出的exe被杀毒软件认为是木马

妙音

11-25

3万+

把python文件转为独立的exe，放在windows上运行。结果腾讯管家马上提示有可能是木马把它删除了一脸懵逼，我良民，咋成木马了呢。思前想后，我做了什么，被认为很危险。原来我用了os.system。下面是演示 python文件 #xxx.py import os cmd="xxxxx" os.system(cmd) 编译exe #编译完成，系统提示发现木马 python -m P...

TideSec远控免杀学习一（免杀基础+msfvenom隐藏的参数）

fa1lr4in的小博客

02-08

3385

参考链接：https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 参考资料免杀技术有一套:https://anhkgg.com/aanti-virus/ Meterpreter免杀及对抗分析:https://www.freebuf.com/sectool/157122.html 免杀艺术:https://www.4hou.com/technol...

qt 动态库的释放

yhctw的专栏

10-17

831

<br /> 在编写qt动态库，在动态库中分释的指针一定要在动态库中释放，如果有没有释放的就有可能影响其他动态库的运行，比如说我有一个图形建模的动态库，其中分配了一个部件，动态库释放的时侯没有释放它，运行别的动态库只要有显示对话框，就会报错，这就是图形建模动态库引起的，所以动态库的编写一定要注意<br /> 在动态库中的关闭事件中用了delete this 虚构函数时不能调用QMessageBox，否则会报错

解决360杀毒误报病毒的案例HEUR/QVM03.0.7E2A.Malware.Gen