01
项目介绍
02
项目测试
C:WindowsSystem32ftp.exe -""s:__init__libgcc.dll
C:WindowsSystem32ftp.exe -s:__init__libgcc.dll
C:WindowsSystem32ftp.exe -s"":__init__libgcc.dll
03
项目实战
FN@=ftp.exe|IN=ftp.exe|CL@=-s:|RID=10001|IC=1|CQ=0,0|
CQ=云引擎查询
XX=特征码比较
DLL_HIJACK=DLL劫持
QUERY_WITH=上行查询报文
IN=InternalName(内部名)
SP=签名快速检查
MD5=MD5
SC=签名公司
PV=产品版本
PN=产品名
LC=版权声明
FV=文件版本
FD=文件描述
CN=公司名
SI=大小
ON=原始文件名
FNS = 文件名列表
LOLBin = 白利用拦截
OSVER = 该规则生效的操作系统版本范围
DCOMPARAM = 获取DCOM调用时RPC Buffer中的参数信息
DCOM = DCOM调用接口名
DCOMPORT = DCOM调用的函数序号
GUID = 调用时传入的GUID值
REG=注册表键值
T5S=5秒内是否dll过检测
TN=TMOD文件名
PF=来源进程父进程文件名
PA=程序参数
CP=调用外部程序
RID=强行修改规则ID
AH=防黑加固
PT=进程链
DW=危险白进程
EI=扩展信息
CL=进程命令行比较
FN=文件名
NONE=啥都不是
FN@=ftp.exe|IN=ftp.exe|CL@=-s:|RID=10001|IC=1|CQ=0,0|
FN=文件名
IN=InternalName(内部名)
CL=进程命令行比较
RID=强行修改规则ID
IC=
CQ=云引擎查询
从字面意思来看,好像对我们造成威胁的只有(CL=进程命令行比较),所以在上文的测试结果中,大家看出来了什么端倪了吗?按照我自身的猜测,(@)这个符号可能是强比较的意思?那么造成绕过的原因是不是就显而易见了?
方法不限,我从中还找到了能过QVM的其他办法。这个搜索字符串的思路并非我原创,对这个思路进行了一个创新。我也是将我学到的分享给大家,只是分享一个思路!!!
04
项目拓展
原文始发于微信公众号(零攻防):【免杀实战】- 分析与利用360规则库复活国护钓鱼木马
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论