对程序调用API变形的一点认识

最新推荐文章于 2025-06-22 21:30:34 发布
原创 最新推荐文章于 2025-06-22 21:30:34 发布 · 839 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#api #杀毒软件 #user

本文介绍了一种让恶意软件避开杀毒软件检测的方法。通过分解CALL指令并手动模拟调用过程,使得恶意行为难以被特征码识别。此外,还讨论了如何通过在本地代码中复制API的部分行为来进一步迷惑杀毒软件。

我就从简单分析下怎样躲过杀毒软件的查杀说起吧

这是我以前的文章,据说这种技术可以过主动防御

.386
.Model Flat, StdCall
Option Casemap :None

Include windows.inc
Include user32.inc
Include kernel32.inc
IncludeLib user32.lib
IncludeLib kernel32.lib

.DATA
szDllKernel db 'user32.dll',0
szMessageBox db 'MessageBoxA',0

.DATA?
lpMessageBox dd ?
.CODE
START:
invoke GetModuleHandle,addr szDllKernel
mov ebx,eax
invoke GetProcAddress,ebx,offset szMessageBox
mov lpMessageBox,eax
push MB_OK
push 0
push 0
push 0
mov EAX,offset _END
push EAX
jmp lpMessageBox
_END:
invoke ExitProcess,0

END START

 上面的代码可用于反杀毒软件的病毒里,杀毒软件一般都用特征码判断是否调用了危险API,而上面的代码就是把CALL分解开来,实现了简单的代码变形
如果杀毒软件是靠判断JMP的目标是否为危险API的话,也可以写成这样躲过杀毒软件

 

.CODE
START:
invoke GetModuleHandle,addr szDllKernel
mov ebx,eax
invoke GetProcAddress,ebx,offset szMessageBox
mov lpMessageBox,eax
push MB_OK
push 0
push 0
push 0
mov EAX,offset _END
push EAX
;添加的代码开始
mov edi,edi
push ebp
mov ebp,esp
add lpMessageBox,5
;添加的代码结束
jmp lpMessageBox
_END:
invoke ExitProcess,0 
END START

 

杀毒软件一般是靠特征码判断病毒的,比如杀毒软件监视MessageBox这个函数的调用,只要调用这个函数杀毒软件就认为你有破坏系统的动机,所以我们就得想办法躲过杀毒软件的监视,但又不能不用这个函数那怎么办呢?
www.xbin.cn
了解调用过程的人都知道CALL指令就是先把下一条指令地址压栈然后在用JMP跳转到函数入口处,那我们的解决办法就出来了,我们可以自己完成这个调用动作,先把下一条指令压栈

 

mov EAX,offset _END
push EAX

 

在跳转到函数入口处

 

jmp lpMessageBox 

 

这样就骗过杀毒软件了,因为在二进制代码级别上,上面的代码和CALL指令的二进制是不同的,但实现的功能是相同的。

有的杀毒软件不光靠判断特征码,而且还判断跳转的目标地址,就是判断你的指令是否跳转到他认为危险的API入口处,当然我们也有办法骗过他,那就是把目标API的前几行代码在自己程序里实现,然后在跳转到API函数中去继续运行。比如我是把MessageBox的前3行代码在自己的程序里实现,然后在条到MessageBox的第4行里继续运行。
www.xbin.cn
这样跳转到目标入口地址就不是API函数的入口了

如果杀毒软件是靠判断是否跳转到一个指定的区域的话,那还有一个更毒的招,那就是分配一个动态内存,把API函数代码考到自己的2G空间里运行

使用 IDA Tracing 动态跟踪 JNI 方法执行过程
10-25 1964
去掉勾选 Trace over debugger segments(控制的是 tracing 操作是否仅限于当前调试器的代码段(segments),还是可以跨越所有内存段执行指令追踪。在开始断点触发时清理 tracing & 开启 Instruction tracing & 挂起其他线程(过反调试),执行到结束地址时关闭 Instruction tracing & 恢复所有线程执行 & 移除断点 & 解除 hook。断点触发,打开 Instruction tracing,然后 F8 单步执行。
使用 Frida 定位 JNI 方法内存地址
10-11 966
ArtMethod 是 Android Runtime (ART) 中一个非常重要的数据结构,它在 Android 系统中用于表示每个 Java 方法。entry_point_from_jni_ 是 ArtMethod 结构体的一个字段,专门用于存储一个 Java 方法的 JNI(Java Native Interface)入口点。
逆向某物 App 登录接口:还原 newSign 算法全流程
06-22 1759
j_AES_128_ECB_PKCS5Padding_Encrypt 实际调用的是 AES_128_ECB_PKCS5Padding_Encrypt 函数。AES_128_ECB_PKCS5Padding_Encrypt 里面调用 j_AES128_ECB_encrypt 加密数据。返回值 v19 来自于 v18,是 j_AES_128_ECB_PKCS5Padding_Encrypt 方法的返回值。NCall.IL 实际调用的是 sub_17EB8 函数,而且函数内部大量引用了x y 开头的全局变量。
APP逆向 day15 某物逆向
一起进步
07-09 5943
这次讲的很长,主要是学习技术和概念。
使用 jnitrace 分析 native 方法调用过程
10-28 1198
l <library>:指定要追踪的库,可以使用多次,例如 -l libnative-lib.so -l libanother-lib.so,或使用 -l * 追踪所有库。-i <regex>:指定方法名称的正则表达式进行追踪,可以多次使用,如 -i Get -i RegisterNatives。-E <string>:排除指定导出方法的追踪,如 -E JNI_OnLoad -E nativeMethod。-e <regex>:排除指定方法名称的正则表达式,如 -e ^Find -e GetEnv。
Frida Native 层 Hook 技巧:JNI 函数调用、字符串解析、so 加载
04-03 1257
android_dlopen_ext 是 Android 特有的 dlopen 扩展版本,允许开发者在加载共享库时使用额外的选项,比如 指定库的加载路径 或 共享库的保护标志。dlopen 函数 在 linker 模块,是 Android 系统上的动态库加载函数,用于在运行时加载共享库(.so 文件)。在 Android 系统中,这些函数的原型通常可以在 Bionic(Android 的 C 库)中找到。argTypes:一个数组,指定函数的参数类型,如 [“pointer”, “int”]。
VMP:入口点API脱壳
sun000up的博客
07-15 711
入口点API查找通过常见编译器程序入口点的API,下断点,返回到OEP附近
C++游戏分析与破解方法介绍
douluo998的博客
03-31 4301
目前手机游戏直接用C++开发的已经不多,使用C++开发的多是早期的基于cocos2dx的游戏,因此我们这里就以cocos2d-x为例讲解C++游戏的分析与破解方法。Cocos2d-x是一个移动端游戏开发框架,可以使用C++或者lua进行开发,也可以混合使用。在使用C++开发时,游戏主逻辑模块默认名字是“libgame.so”,跟其他的native模块一样,放在游戏的“lib”目录下。
使用readelf分析so文件
09-29 1035
虽然 readelf 工具本身是为 Unix-like 操作系统设计的,但你可以在 Windows 上通过 WSL 使用它。新一个 soinfo.sh,编写一个简单的Shell脚本,调用 readelf -a 命令并将输出保存到同名的 .txt 文件中。调用 readelf -a 一次性查看文件中的所有信息,包括文件头、程序头、节头、符号表、动态节等。在 wsl 中 /mnt/d 对应的就是 windows 下的 D 盘,其他同理。创建 scripts 目录,并把 soinfo.sh 放到该目录下。
一文搞懂如何使用 Frida Hook Android App
09-29 2746
根据自己的 android 版本,降级或升级 frida、frida-tool、frida-server的版本即可,比如 android10 实测可用的版本如下。创建 frida-server-upload.bat,实现拖入 frida-server 直接推送到设备并添加执行权限。在安装 frida 时候提示找不到 frida-14.2.18-py3.8-win-amd64.egg。创建 frida-server-start.bat,实现一键启动 frida-server 并转发端口。
System.load 和 System.loadLibrary详解
热门推荐
悦峰原创博客
11-06 8万+
System.load 和 System.loadLibrary详解1.它们都可以用来装载库文件,不论是JNI库文件还是非JNI库文件。在任何本地方法被调用之前必须先用这个两个方法之一把相应的JNI库文件装载。2.System.load 参数为库文件的绝对路径,可以是任意路径。例如你可以这样载入一个windows平台下JNI库文件:System.load("C://Docu
C++下 VMP加壳宏
IT男也疯狂
12-09 7027
#define VMP_BEGINV \ _asm _emit 0xEB \ _asm _emit 0x10 \ _asm _emit 0x56 \ _asm _emit 0x4D \ _asm _emit 0x50 \ _asm _emit 0x72 \ _asm _emit 0x6F \ _asm _emit 0x74 \ _asm _emit 0x65 \ _asm _emit 0x63 \
为什么说SO加固+无源码VMP是最佳的Android手游安全保护方案?
09-19 2140
本文作者为易盾实验室工程师。 随着移动互联网的高速发展,移动游戏市场也得到了快速发展,与之对应的移动游戏外挂和破解市场也是风生水起,外挂和破解的发展对游戏的玩家体验,以及厂商收益产生了极大的消极影响。为维护游戏运营安全,保障玩家公平的游戏环境,对游戏的保护必不可少。 移动游戏最重要的是部分是资源和逻辑,而游戏引擎则是处理资源和逻辑的关键所在。恶意玩家可以通过游戏引擎获取解密后的游戏脚本或游戏资源,...
针对vmp和ollvm的解决方法
qq_37439229的博客
11-25 1239
自我总结 1.angr 2.gdb脚本测试 3.pin插桩 (目前的学习经历知道这几种方法,如果有别的,欢迎师傅们补充,其中pin还没用过,angr就只会写模板,gdb还写不来。一般都动调。。。有待学习,补充) ...
对代码变形一点认识
晓斌的博客
03-09 1503
.386.model flat, stdcalloption casemap :noneinclude kernel32.incincludelib kernel32.lib    .CODESTART:    call _NO1            ;跳过干扰码    db 0e9h               ;干扰码    jmp _END           ;跳出变形的代码_NO1
用OD跟踪金山游侠的部分代码并用汇编还原其功能
晓斌的博客
03-08 1242
这是偶无聊的时候跟踪金山游侠的部分代码,并用汇编根据其程序流程写出了完整的代码,就当练练手吧!0041EC32  /.  55            push    ebp                                        ;后面要用EBP读堆栈找外部参数所以就要先保存EBP0041EC33  |.  8BEC          mov     ebp, esp  
自己写的一个HOOKAPI的汇编例子
晓斌的博客
03-08 1106
;************************************************;程序作者:晓斌;QQ:6750333        http://www.xbin.cn;************************************************.586.model flat, stdcalloption casemap :noneinclude  wi
判断是否为PE文件改进版
晓斌的博客
03-08 879
原来的程序一遇到0字节的文件就会挂掉,在这里我添加了SEH错误处理代码,完美解决了挂掉的问题! .386.model flat, stdcalloption casemap :none include    windows.incinclude    user32.incincludelib  user32.libinclude    kernel32.incincludelib  k
考虑可再生能源出力不确定性的商业园区用户需求响应策略(Matlab代码实现)
最新发布
12-15
考虑可再生能源出力不确定性的商业园区用户需求响应策略(Matlab代码实现)内容概要:本文围绕“考虑可再生能源出力不确定性的商业园区用户需求响应策略”展开,结合Matlab代码实现,研究在可再生能源(如风电、光伏)出力具有不确定性的背景下,商业园区如何制定有效的需求响应策略以优化能源调度和提升系统经济性。文中可能涉及不确定性建模(如场景生成与缩减)、优化模型构建(如随机规划、鲁棒优化)以及需求响应机制设计(如价格型、激励型),并通过Matlab仿真验证所提策略的有效性。此外,文档还列举了大量相关的电力系统、综合能源系统优化调度案例与代码资源,涵盖微电网调度、储能配置、负荷预测等多个方向,形成一个完整的科研支持体系。; 适合人群:具备一定电力系统、优化理论和Matlab编程基础的研究生、科研人员及从事能源系统规划与运行的工程技术人员。; 使用场景及目标:①学习如何建模可再生能源的不确定性并应用于需求响应优化;②掌握使用Matlab进行商业园区能源系统仿真与优化调度的方法;③复现论文结果或开展相关课题研究,提升科研效率与创新能力。; 阅读建议:建议结合文中提供的Matlab代码实例,逐步理解模型构建与求解过程,重点关注不确定性处理方法与需求响应机制的设计逻辑,同时可参考文档中列出的其他资源进行扩展学习与交叉验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值