免杀小方法-释放不完整的动态库文件

最新推荐文章于 2024-06-10 22:16:11 发布

最新推荐文章于 2024-06-10 22:16:11 发布 · 76 阅读

本文详细解析了一种恶意软件的注入技术，包括从自身资源释放动态库文件、通过标识字段判断完整性并修复、将动态库文件移动到system32目录并更名、创建远程线程注入explorer以及通过复制rundll32.exe加载特定导出函数。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1.从自身资源释放不完整的动态库文件AA.temp 和 BB.temp到临时目录

2.从自身文件末尾读取标识字段并判断标识的完整性，从自身读取内容修改动态库AA.temp BB.temp使之完整

3.把AA.temp和BB.temp移动到 system32目录并改名为 msctfime.iem和dbr.ocx

4.创建远程线程把msctfime.iem注入到explorer

5.把 system32/rundll32.exe 复制为 gbv.exe 创建进程以命令方式用dgv.exe加载 dbr.ocx中的导出函数

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

iteye_9378

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞

墨鱼菜鸡

07-11

3594

1、渗透测试实用浏览器插件 chrome、edge 插件：搜索 cookie，安装 cookie editor，打开插件，可以导出 cookie HackBar ：Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。解决Firefox插件-H...

开发知识点-NimLang

aming小老弟

12-25

678

Nim（最初叫 Nimrod）是一门命令式静态类型编程语言，可以被编译成 C 或 JavaScript。它是开源的，维护很活跃，还结合了来自成熟语言（如Python，Ada和Modula）的成功概念。Nim具有高效性，生成的执行文件小，编译器支持所有平台，非常适合嵌入式硬实时系统，支持各种后端编译等等，Nim强大的宏系统和独立性，

参与评论您还未登录，请先登录后发表或查看评论

C++源代码免杀之函数的动态调用

04-28

C++源代码免杀之函数的动态调用最近也在学着修改Gh0st远控的源代码，源代码免杀起来还是方便、简单、有效和简单点。针对于输入输出表盯的比较紧的杀毒软件，最有效的还是进行函数动态调用。也就是说找到函数的原定义，包括值类型和参数等等，再在调用该函数的地方重新定义这个函数，其实也只是改下函数名而已，下面举个例子：

Delphi函数动态调用实现免杀

weixin_30852419的博客

11-21

126

Delphi 源码免杀之函数动态调用实现免杀的下载者自己编译这份代码看看过N多杀软没什么技术含量只是发出来给不懂的人入入门也防止有新人老是来问 ShellApi,URLMon 单元 //Delphi动态调用API函数 procedureTForm1.Button1Click(Sender:TObject); var SourceFile:ansist...

【免杀】C2远控-Loader加载器-动态API调用

最新发布

qq_55349490的博客

06-10

791

绕过杀毒对导入表的检测定性。

[源码]Delphi源码免杀之函数动态调用实现免杀的下载者

weixin_30437337的博客

03-09

233

[免杀]Delphi源码免杀之函数动态调用实现免杀的下载者2013-12-30 23:44:21 来源：K8拉登哥哥's Blog 自己编译这份代码看看过N多杀软没什么技术含量只是发出来给不懂的人入入门也防止有新人老是来问 ShellApi,URLMon 单元 //Delphi动态调用API函数 procedure TForm1.Butto...

MYCCL：内存定位特征码的必备免杀工具

标题中提到的“小熊免杀工具”，通常在中文语境下被称为“MYCCL”，它是一款被广泛用于网络安全领域中的免杀（Anti-Evasion 或 Anti-Malware Evasion）工具。在网络安全和恶意软件分析领域，“免杀”是指攻击者为了...

全国计算机等级考试二级教程--Java语言程序设计必杀秘诀.pdf

10-26

- **JDK目录结构**：bin包含编译、解释和其他工具，lib包含库文件，src.zip包含源代码等。 4. **学习内容**： - **Java语言概述**：理解Java的起源、发展和核心概念。 - **简单数据类型**：了解整型、浮点型、...

免杀专题（一）shellcode原理

weixin_47224111的博客

12-30

4006

免杀专题（一）shellcode原理基本概念一段16进制的机器码，可在暂存器eip溢出后，塞入一段可让cpu执行的shellcode机器码，让电脑可以执行攻击者的任意指令。原理因为shellcode一般为一段汇编代码，不依赖任何编译环境，也不能像编写代码一样，调用api函数名称来实现功能。它通过主动查找dll基址并动态获取api地址的方式来实现api调用。 Kernel32.dll控制着系统的内存管理、数据的输入输出操作和中断处理。 shellcode分为两个模块，基本模块和功能模块基本模块用

由函数指针变量组成的数组（实现免杀动态调用的基础）

byteway的专栏

12-11

1310

C 语言使用由函数指针变量组成的数组, 简单模拟虚函数表调用方式

免杀技术有一套（免杀方法大集结）

hackzkaq的博客

05-23

7551

零基础学黑客，搜索公众号：白帽子左一 00. 概述什么是免杀？来自百科的注解：免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），逐字翻译为“反-反病毒”，翻译为“反杀毒技术”。有本比较有名的书，想详细学习的同学可以去看看。《黑客免杀攻防》其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法，有没有效果，试试就知道了。 01. 简介免杀大概可以分为两种情况：二进制的免杀（无源

免杀小结-

ZxC789456302的博客

09-26

6782

先来假设一下报毒过程,对于PE文件的检测，如果在CODE位置存在标志A，在DATA位置存在标志B，在资源位置存在标志C，同时满足这三个条件，那么杀软就会报毒，VirTest工作原理就是要找到引起报毒的最后一个标志，也就是C。最后，终极修改方法，找到访问数据的代码，直接修改代码访问数据的地址，数据也可以放到其他地址了，其实就如同修改源码一样修改，肯定没有修改源码那么容易（见后）。使用ResHacker对文件进行资源操作，找来多个正常软件，将它们的资源加入到自己软件，如图片，版本信息，对话框等。

分析NSIS打包的恶意软件思路和实例

jentle8的博客

09-26

1230

NSIS一般思路

pyinstaller编译出的exe被杀毒软件认为是木马

妙音

11-25

3万+

把python文件转为独立的exe，放在windows上运行。结果腾讯管家马上提示有可能是木马把它删除了一脸懵逼，我良民，咋成木马了呢。思前想后，我做了什么，被认为很危险。原来我用了os.system。下面是演示 python文件 #xxx.py import os cmd="xxxxx" os.system(cmd) 编译exe #编译完成，系统提示发现木马 python -m P...

解决360杀毒误报病毒的案例HEUR/QVM03.0.7E2A.Malware.Gen

热门推荐

feiliko的专栏

10-14

3万+

自己写的小软件，就是做些很安份的事，360就给蹦出恶意软件。对360杀毒机制深表怀疑，给大家讲一个经历，可能会带你走困局。 public void DictClear() { _dict.Clear(); _dict = BuidDictTreeF1(); }

免杀艺术 1: 史上最全的免杀方法汇总

weixin_34303897的博客

09-20

3565

本文讲的是免杀艺术 1: 史上最全的免杀方法汇总，从本文开始，我们将分三章来系统的讲述一下有关免杀的各种技术。虽然目前有很多方法可以让恶意软件使用某一技术绕过反病毒检测，但这些显然不是恶意软件免杀的终极目标，它们的最终目标是实现 “FUD”， “FUD” 是地下网络论坛的黑话，代表“恶意软件完全不可被检测到”的意思。本文主要是通过介绍静态免杀、...

Kali Linux渗透测试——免杀基础

Captain_RB的博客

06-01

2608

笔记内容参考安全牛课堂苑房弘老师的Kali Linux渗透测试教程文章目录一、基础概念（一）恶意软件（二）防护手段（三）免杀技术二、工具介绍（一）Msfvenom（二）Veil-evasion（三）Backdoor-factory 一、基础概念（一）恶意软件在用户非自愿情况下执行安装，具有控制、窃取、勒索、攻击等恶意功能的软件，基本分类如下：病毒：独立存在或者插入在计算机程序中的恶意代码，可通过隐蔽复制进行传播蠕虫：可以通过网络进行传播的病毒木马：通过伪装诱使用户运行程序，达到远程控制、破.

对免杀的一点理解

weixin_34248705的博客

04-13

114

最近看了***手册出版的免杀一书,书第一遍才不多看完了,对免杀有了一个大概的认识和理解.在免杀过程中,一个是定位特征码,另外一个就是修改特征码.当然这种方法主要是针对那些使用特征码来查杀的病毒的***软件。书上写的比较容易和简单，但是免杀更多是实际的操作和在操作过程中的领会，跟武林高手一样，就是悟道。你明白了也就明白了，可能就是一个字，一个字符，一个字节，一个函数，你就得道了。 ...