v校：关于白名单文件劫持与和谐启动的那些事儿~

首先要找到那个Exe和那个dll，对dll做劫持，然后打包在一起，然后呢，你懂得，释放文件到XX去，然后用bat文件复制大法复制过去~

然后最重要的事情就是和谐启动，首先你要知道只有从explorer启动来的xxx才是和谐的XX~于是通过ws的各种消息各种XX（vbs啊，bat啊综合应用，鼠标模拟啊，按键啊，发消息啊）,最后从explorer启动了~但是你丫还是不能加载驱动~这怎么办？怎办办啊？其实很简单劫持的DLL直接修改OEP（CrtMain什么的，自己找一下偏移直接hook吧~） jmp到自己的int NeverReturnWinMain()里~

然后你懂得~你可以在NeverReturnWinMain里创建线程XX去生成证书，安装证书为可信证书，然后用证书给sys和加载sys的exe签名，然后运行那个负责加载sys的exe~~~尼玛尼玛~~~

经测试无任何杀毒对此手法有拦截。

缺点是 体积巨大，庞大，尼玛的大~（话说这玩意有500KB吧~不过可以用压缩壳压缩~压缩后大小不大~但是有误报啊~）

不过可以把其他部分，比如那个exe,那个dll,那个sys，那个加载sys的exe都放在服务器上，通过动态download就好鸟~

 

 PS:

杀毒软件拦截你就是你丫的行为不像人，你的行为越人化，它丫越不能拦截，它又不是网游不会弹验证码~~哈哈~