想第一时间看到我们的大图推送吗?赶紧把我们设为星标吧!这样您就不会错过任何精彩内容啦!感谢您的支持!🌟
免责声明
文章所涉及内容,仅供安全研究教学使用,由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
前言
相信很多师傅都身怀绝技,但是谁又会嫌弃绝技多呢,不管是在工作面试中还是在hw面试中,多一项技能也多一分可能。
那么我们废话不多说开始正题!(这里我们通过还原当时场景来展示问题),该问题的很多答案,公众号都有文章,读者大大可以自行阅读,如果没有的,是师傅最近也在忙着准备hw后面也会更新。
1.1 如何绕过卡巴斯基
面:请简单说出如何绕过卡巴斯基。
我:一般常规来说,我们都是通过VEH + syscall +hook,来进行内存操作,达到暂时绕过卡巴斯基,然后再配置一下profile流量特征,一般我们上线以后先sleep10分钟。(每个人过卡巴斯基的方法不一样,因人而异)
1.2如何隐藏进程链
面:请简单描述进程链隐藏的方法和原理。
我:进程链隐藏的范围很大,那我简单描述一下,首先是断链,一般世面上熟知的就是R3层的模块隐藏和R0层进程隐藏。
1.R3层,使用的是PEB这个结构体,他其中的LDR结构体中的LIST_ENTRY结构体,LDR中有3个这样的结构体,他们分别以不同的方式来排列进程中模块,然后模块中有两个指针分别是FLINK和BLINK,分别指向其前后的模块,相当于是一个闭环双向链表,我们通过修改我们需要的模块的前后指针来进行隐藏。
2.R0层的话方式和R3层差不多,R0层使用的是_EPROCESS这个结构体,然后的话,使用的是驱动,但是注册驱动需要使用签名所以可能使用有点困难。
1.3bypassETW
面:请简单说一下bypassETW
我:通过关闭ETW服务、清理日志文件、使用特殊工具、修改ETW配置、利用系统漏洞、执行合法系统调用或混淆操作来绕过事件跟踪日志(ETW),以隐藏其活动并避免被检测。(当时记得不清楚了,答了个大概)
1.4bypassAMSI
面:请简单说一下bypassAMSI
我:AMSI的话,绕过方式可以通过编码这些,或者去通过绕过他的函数BUFFER,去修改他函数执行以后得到返回值,这个返回是1~60000来定级,如果越高那么文件越危险,我们要讲返回值修改为0。
1.5bypassUAC
面:请简单说一下bypassUAC
我:UAC相当于劫持注册表,通过去劫持windows自带的exe,去执行我们的恶意脚本,这里的话,寻找windows的exe我们可以通过脚本去寻找,找到以后运行起来,使用工具去查看他是否访问了HKCUSoftwareClassesms-settingsshellopencommand这个注册表路径,因为我们注册表没有这个路径,所以我们需要去添加一下这个路径,让他继续访问,然后我们在查看,他会访问HKCUSoftwareClassesms-settingsshellopencommandDelegateExecute,然后在添加一个键值,这个键值就是我们的恶意程序,当我们运行,windows的那个exe时,就会启动我们的恶意程序。
1.6分离加载shellcode原理
面:说一下分离加载吧
我:好的面试官,分离加载就是将shellcode加密以后单独放置一个文件,通过他的路径将他读取进来,并且是以二进制的方式读取,然后加密最后执行,如果将shellcode放在loader当中会增大文件体积,让文件的熵值增加。
1.7内存执行函数
面:说一下有哪些内存执行函数
我:(这里我是有点懵的,我不知道他问题的范围,所以我答了个其他的)函数的话,我不确定,一般是用指针去执行,或者创建进程,线程去执行,具体函数我也确定您要的准确答案。
1.8hook函数原理
面:那说一下hook函数的原理
我:好的面试官,hook函数有两种IAT HOOK和inline HOOK ,我简单说一下inline HOOK吧,首先我们先通过dll文件获取到我们需要的函数的原始地址,然后我们再将我们函数的地址和原始函数的地址进行替换,在调用原始函数的时候就会执行我们的函数,这边的话有两种方式进行替换,一个是直接使用JMP指令另一个是使用MOV 加 JMP EAX。
后面就开始问我其他问题了,这里问题并不是固定的,很多面试官问的都不一样,因人而异。
总结:
1.1 如何绕过卡巴斯基
1.2如何隐藏进程链
1.3bypassETW
1.4bypassAMSI
1.5bypassUAC
1.6分离加载shellcode原理
1.7内存执行函数
1.8hook函数原理
回答的不好,大佬轻点喷
原文始发于微信公众号(泾弦安全):简记一次HVV免杀题
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论