v校:关于白名单文件劫持与和谐启动的那些事儿~
来源:互联网 发布:ios数据存储方式 编辑:程序博客网 时间:2024/05/01 03:27
首先要找到那个Exe和那个dll,对dll做劫持,然后打包在一起,然后呢,你懂得,释放文件到XX去,然后用bat文件复制大法复制过去~
然后最重要的事情就是和谐启动,首先你要知道只有从explorer启动来的xxx才是和谐的XX~于是通过ws的各种消息各种XX(vbs啊,bat啊综合应用,鼠标模拟啊,按键啊,发消息啊),最后从explorer启动了~但是你丫还是不能加载驱动~这怎么办?怎办办啊?其实很简单劫持的DLL直接修改OEP(CrtMain什么的,自己找一下偏移直接hook吧~) jmp到自己的int NeverReturnWinMain()里~
然后你懂得~你可以在NeverReturnWinMain里创建线程XX去生成证书,安装证书为可信证书,然后用证书给sys和加载sys的exe签名,然后运行那个负责加载sys的exe~~~尼玛尼玛~~~
经测试无任何杀毒对此手法有拦截。
缺点是 体积巨大,庞大,尼玛的大~(话说这玩意有500KB吧~不过可以用压缩壳压缩~压缩后大小不大~但是有误报啊~)
不过可以把其他部分,比如那个exe,那个dll,那个sys,那个加载sys的exe都放在服务器上,通过动态download就好鸟~
PS:
杀毒软件拦截你就是你丫的行为不像人,你的行为越人化,它丫越不能拦截,它又不是网游不会弹验证码~~哈哈~
- v校:关于白名单文件劫持与和谐启动的那些事儿~
- 关于SVN的那些事儿
- 关于乱码的那些事儿
- 关于密码的那些事儿
- 关于编程的那些事儿
- 关于字符串的那些事儿
- 关于产品的那些事儿
- 关于curl的那些事儿
- 关于less的那些事儿
- 关于highcharts的那些事儿
- 那些关于LruCache的事儿
- 关于UIWebView的那些事儿
- 关于display的那些事儿!
- 关于ARP的那些事儿
- 关于BOM的那些事儿
- 关于Fragment的那些事儿
- 关于JAVA的那些事儿
- 关于NSDate的那些事儿
- 黑马程序员—C#访问修饰符 public、private、protected 和 internal
- 关于领导与员工相处的一个例子
- occi获取表,列,类型
- 中国地图偏移问题
- IOS开发网络加载图片缓存策略之──ASIDownloadCache缓存策略
- v校:关于白名单文件劫持与和谐启动的那些事儿~
- N的阶乘递归算法
- vijos1071【动态规划】
- mysql远程连接数据库慢的解决方案
- poj 3009(深度搜索)
- UITableView用法
- 编程实现,有12升水,怎样利用一个8升和一个5升的容器将水分为两个6升
- js字母大小写转换
- 外网访问内网服务器教程