目录
这里直接放上一张图片:
利用API函数HeapWalk获取堆,在调用HeapWalk后,堆的信息会保存在结构体变量PROCESS_HEAP_ENTRY中。
通过PROCESS_HEAP_ENTRY中的成员wFlags判断获取的堆是否被使用,避免对空堆进行不必要的加密。
写在代码中得到函数与数据会存储在堆中,在加载shellcode之前,利用堆加密,能绕过杀软对刚启动的程序的第一次检测。
代码写好后静态卡巴是没有问题的,但是却发生了一件让我难以置信的事情。
卡巴没报毒竟然被360报毒了,难道360的静态检测已经超越卡巴了吗?
0x04 免杀QVM
对QVM的免杀非常简单,只需要在VS上面稍做更改。
这里是main函数,Hookit是挂钩函数,Threadtest是远程线程注入函数,Xydll,xySleep利用字符串分离隐藏字符串。
如果您对免杀对抗感兴趣,想要深入探讨、交流并学习更多相关内容,欢迎各位师傅加入官方技术交流群!!!(关注公众号,回复【加群】,添加管理员微信,拉您进群)
点击下方名片进入公众号,欢迎关注!
原文始发于微信公众号(赤鸢安全):【免杀】初探卡巴--堆加密
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论