unsetunset文章前言unsetunset
火绒6.0的内存扫描,对于抓特征比较死的shellcode成功率是很高的,绕过的方式也是有很多,今天就分享一个非常简单的办法,利用火绒白名单,可以上线原生cs和低权限kill火绒的办法,在这个进程中怎么操作都不会死!!!仅限火绒6.0。
unsetunset准备阶段unsetunset
我是如何发现火绒的白名单可以利用的?这个说起来也比较奇怪,在火绒5.0的版本中,好像不存在可劫持用户dll的进程(不太确定太久远了,如果存在,大家可以按照本文中的办法去处理)。 我用自己写的工具【ZeroEye】 对整个电脑跑了一下白程序,居然发现火绒6.0有合适的程序可以劫持(这个已经被我用烂在360上了),但是对付火绒6.0还是能一直用,在火绒签名下的进程中随意操作,无视内存扫描。
DB5Upgrade
工具贴心的提供了劫持的模板!
低权限Kill
实践部分unsetunset
EXE代码部分
代码解读: 这份代码利用的技术点并不难,总体归类于傀儡进程或者进程镂空,注入对象【MY.exe -> DB5Upgrade】,创建一个进程之后采用APC注入,然后改成了SysCall仅此而已,原理就是将下面的dll注入到DB5Upgrade.exe中,然后通过它写一段垃圾字符到HipsTray然后将RIP指向垃圾字符,导致其崩溃,实现Kill火绒6.0的效果。DLL代码部分
代码解读: DLL中写的内容也不多,也是利用了注入,注入对象【DB5Upgrade -> HipsTray】。注入的内容也不一样,注入的是一个字符串:Fuck_Huorong,这个字符串是随意的。目的是Rip指针指向这个字符串的时候会导致HipsTray崩溃!SysApc2Kill360.exe kill.dll
上线CS
EXE代码部分
SysApc2Kill360.exe beacon.bin
unsetunset获取方式unsetunset
提取码:Ling
原文始发于微信公众号(零攻防):【免杀实战】 - 低权限kill火绒,让火绒6.0内存扫描形同虚设
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论