想第一时间看到我们的大图推送吗?赶紧把我们设为星标吧!这样您就不会错过任何精彩内容啦!感谢您的支持!🌟
前言
360核晶作为一款杀毒软件,无疑拥有相当的强大实力。与国外许多强大的杀毒软件类似,它也有自己擅长的领域。不同于卡巴斯基的内存扫描,核晶的强项在于其行为检测能力。一旦发现程序试图利用注册表、计划任务或其他提权注入操作,它都能及时发出警报。这种基于应用程序行为的检测方式非常难以绕过。
绕核晶初试
-
BOF
以前的核晶它对于注册表与计划任务的监管主要是基于CMD窗口,当时绕过核晶可以简单地采用Windows API操作注册表,实现对核晶的绕过。
但现如今的核晶显然不能简单地利用Windows API进行绕过,甚至于许多BOF都无法实现绕过。(这里指的是我自己找的一些较老的BOF,如果是自主开发BOF或者一些新BOF则不一定)
-
伪造PEB
-
利用白加黑
突破核晶维权技术
-
DLL侧加载
利用DLL侧加载实现白加黑能够对我们的黑DLL有更好的隐藏效果,使用DLL侧加载实现的白加黑上线成功避免黑DLL被识别并成功实现注册表维权。
-
核晶致盲
核晶致盲问题是应对核晶的老办法了,所谓的核晶致盲就是利用核晶兼容性差这一点,启动会对核晶虚拟化技术产生冲突的程序,实现致盲核晶。
网上爆出能实现核晶致盲的程序有不少,包括但不限于LOL,雷电模拟器等。在上线的同时启动能致盲核晶的程序,依旧能实现核晶下维权。
效果展示
除了学习资料分享,我们提供网安证书报考特惠渠道以及最新的免杀课程!详细信息,请扫描下方二维码进行咨询。
证书报考咨询:
免杀课程咨询:
点击下方名片进入公众号,欢迎关注!
原文始发于微信公众号(赤鸢安全):【免杀】360核晶下的权限维持绕过探究
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论