对程序调用API变形的一点认识
来源:互联网 发布:windows xp万能密钥 编辑:程序博客网 时间:2024/06/05 11:04
我就从简单分析下怎样躲过杀毒软件的查杀说起吧
这是我以前的文章,据说这种技术可以过主动防御
.Model Flat, StdCall
Option Casemap :None
Include windows.inc
Include user32.inc
Include kernel32.inc
IncludeLib user32.lib
IncludeLib kernel32.lib
.DATA
szDllKernel db 'user32.dll',0
szMessageBox db 'MessageBoxA',0
.DATA?
lpMessageBox dd ?
.CODE
START:
invoke GetModuleHandle,addr szDllKernel
mov ebx,eax
invoke GetProcAddress,ebx,offset szMessageBox
mov lpMessageBox,eax
push MB_OK
push 0
push 0
push 0
mov EAX,offset _END
push EAX
jmp lpMessageBox
_END:
invoke ExitProcess,0
END START
上面的代码可用于反杀毒软件的病毒里,杀毒软件一般都用特征码判断是否调用了危险API,而上面的代码就是把CALL分解开来,实现了简单的代码变形
如果杀毒软件是靠判断JMP的目标是否为危险API的话,也可以写成这样躲过杀毒软件
START:
invoke GetModuleHandle,addr szDllKernel
mov ebx,eax
invoke GetProcAddress,ebx,offset szMessageBox
mov lpMessageBox,eax
push MB_OK
push 0
push 0
push 0
mov EAX,offset _END
push EAX
;添加的代码开始
mov edi,edi
push ebp
mov ebp,esp
add lpMessageBox,5
;添加的代码结束
jmp lpMessageBox
_END:
invoke ExitProcess,0
END START
杀毒软件一般是靠特征码判断病毒的,比如杀毒软件监视MessageBox这个函数的调用,只要调用这个函数杀毒软件就认为你有破坏系统的动机,所以我们就得想办法躲过杀毒软件的监视,但又不能不用这个函数那怎么办呢?
www.xbin.cn
了解调用过程的人都知道CALL指令就是先把下一条指令地址压栈然后在用JMP跳转到函数入口处,那我们的解决办法就出来了,我们可以自己完成这个调用动作,先把下一条指令压栈
push EAX
在跳转到函数入口处
这样就骗过杀毒软件了,因为在二进制代码级别上,上面的代码和CALL指令的二进制是不同的,但实现的功能是相同的。
有的杀毒软件不光靠判断特征码,而且还判断跳转的目标地址,就是判断你的指令是否跳转到他认为危险的API入口处,当然我们也有办法骗过他,那就是把目标API的前几行代码在自己程序里实现,然后在跳转到API函数中去继续运行。比如我是把MessageBox的前3行代码在自己的程序里实现,然后在条到MessageBox的第4行里继续运行。
www.xbin.cn
这样跳转到目标入口地址就不是API函数的入口了
如果杀毒软件是靠判断是否跳转到一个指定的区域的话,那还有一个更毒的招,那就是分配一个动态内存,把API函数代码考到自己的2G空间里运行
- 对程序调用API变形的一点认识
- 对程序调用API变形的一点认识
- 对代码变形的一点认识
- 对VS2008调试程序的一点认识
- 对Final的一点认识
- 对Final的一点认识
- 对项目的一点认识
- 对maven的一点认识
- 对MongoDB的一点认识
- 对堆栈的一点认识
- 对readResolve的一点认识
- 对线程的一点认识
- 对DLL的一点认识
- 对QT的一点认识
- 对嵌入式的一点认识
- 对ContentProvider的一点认识
- 对extern "C"的一点小认识
- 我对Log4J的一点初认识
- 在线语音留言系统 http://qian-xiong.blogspot.com/2007/03/blog-post_2003.html
- 用Agent+ASP技术制作语音聊天室http://www.23js.net/2632.html
- Flash Media Server 2使用入门基础http://blog.breakn.net/article.asp?id=267
- 蓝牙休闲娱乐平台(毕业设计)第三部份
- RAZZ: 在线录音小工具http://www.wangtam.com/50226711/razz_ce_48250.php
- 对程序调用API变形的一点认识
- 判断是否为PE文件改进版
- JAVA常见异常(收藏)
- 3月8日工作日志-88250
- 蓝牙休闲娱乐平台(毕业设计)第四部份
- timeSetEvent(), QueryPerformance*函数
- 蓝牙休闲娱乐平台(毕业设计)第五部份
- 只能看不能读的文章
- inside the c++ object model 读书笔记(第一章)