[原创]让360 金山。。云见鬼去吧~~-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]让360 金山。。云见鬼去吧~~

发表于: 2012-8-22 22:51 14184

[原创]让360 金山。。云见鬼去吧~~

viphack

2012-8-22 22:51

14184

那我直接说原理吧~ HOOK NtFsControlFile 在吧程序完整的执行一次，接着movefile 想移到哪里就移到到哪里，我的排版是很糟糕

，要骂就骂吧
测试A盾 A盾电脑防护LE2012-0.4.0-旗舰版 PowerToolV4.0.2 Xuetr
Kernel Detective v1.4.1
ls.zip
l2s.zip释放到同一个目录

楼下：
当然进到加载了驱动就无敌了，在底层你想干什么就干什么，进到底层不是一味的要对方死，死了还有什么事情可玩，重要的是他对你的作用失效对其他的没有影响~~
cvcvxk 说对了一些(⊙o⊙)哦，厉害过云还要在HOOK一个，我HOOK错了所以视频文件才打的开~~~~好耶！

不贴bin直说方法免得流氓
1.先HOOK NtFsControlFile 里面随便只要有返回就好接着在改回去（一定要让程序完整执行）
2.先movefile 在hook （3次移一次在移动一次要移动回来在移动到其他地方）
接着可以用movefile改改名字之类的。剩下的自己发挥（一顶要程序完整执行要移动，否则。。）

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

ls.zip （2.91MB，129次下载）
l2s.zip （2.00MB，130次下载）

收藏・3

免费・0

支持

最新回复 (33) 1 2 ▶
cnlamb 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 44 粉丝 0 关注私信	cnlamb 2 楼围观...... 2012-8-22 22:57 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 3 楼看了请顶上去~~亲~~ 高手飘过吧~~ 2012-8-22 22:59 0
yzxdev 雪币： 165 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 118 粉丝 0 关注私信	yzxdev 4 楼我觉得你文字表达都学不好先不要搞这些了。下了视频，没大致看懂，movefile？其实对付各种云很容易，前提是不校验签名，而且一切功能都在ring3实现的话： 1：不要让云检测到有猥琐功能 2：各种block云 3：还是1的做法，但是增加一下，实现一个pe loader 4：anti检测（检测虚拟环境，检测父进程，检测父父进程） 5：更多。。。进了ring0我习惯kill了360.其他的就不扯了 2012-8-22 23:00 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 5 楼果然灵验，一片和谐啊 2012-8-22 23:03 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 6 楼老大我语文就是不好，不好意思啊 2012-8-22 23:05 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 7 楼直接讲原理和过程就行了。。。。 2012-8-22 23:14 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 8 楼看到你发帖就着急.... 别总是拿"我语文不好"当借口,既然知道,干嘛不改? 少发点表情,少用点~~~~,空格用规矩点,说话说完整点,这样很难? 话说到这了,接不接受是你的事,但看雪是公共论坛,不是你的私人博客,别有事没事发一堆不知所云的文字上来,这叫污染视线. 2012-8-22 23:27 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 9 楼我想说脏话. 2012-8-23 00:55 0
ludabiao 雪币： 283 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 77 粉丝 0 关注私信	ludabiao 10 楼汗！不是一般的晕！ 2012-8-23 01:28 0
yzxdev 雪币： 165 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 118 粉丝 0 关注私信	yzxdev 11 楼这不是语文的问题，这是文字表达的问题。 2012-8-23 07:48 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 12 楼汗了解了~~~ 2012-8-23 08:16 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 13 楼我这个人做事情容易急，一着急就会含糊说不清楚，我也不知道为什么，大家有什么解决办法没，人一激动就容易出毛病 2012-8-23 08:18 0
yimingqpa 雪币： 6400 活跃值： (4160) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 498 粉丝 50 关注私信	yimingqpa 1 14 楼前提是驱动能加载上，待加载上后这一切都是浮云. 2012-8-23 09:18 0
cxthl 雪币： 249 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 14 回帖 120 粉丝 0 关注私信	cxthl 2 15 楼驱动都加载不上,怎么hook 2012-8-23 09:19 0
zhangtaopy 雪币： 125 活跃值： (161) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 146 粉丝 0 关注私信	zhangtaopy 1 16 楼拉风大神表示你驱动都加载不起来~ 2012-8-23 09:24 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 17 楼其实有一种RING3 很和谐的方式Load进去. 2012-8-23 09:27 0
z许雪币： 1905 活跃值： (1537) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 18 楼楼主的砖头引出玉了？求详解。 2012-8-23 09:38 0
白玉箫雪币： 351 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 197 粉丝 0 关注私信	白玉箫 19 楼我觉得要是走文件系统的话根本不用hook吧 2012-8-23 09:40 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 20 楼我知道你的意思 2012-8-23 10:13 0
yzxdev 雪币： 165 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 118 粉丝 0 关注私信	yzxdev 21 楼唉,正在运行的文件也是可以MoveFile走的.基础啊. 2012-8-23 10:21 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 22 楼这个我不知道了解了还是直接走这个NtFsControlFile 不过要让文件先完整的执行一次，NtFsControlFile 比较安全好用 2012-8-23 10:41 0
上善若谁雪币： 82 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	上善若谁 23 楼我只是围观一下。 2012-8-23 12:07 0
wfymqj 雪币： 246 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	wfymqj 24 楼不太明白，来围观了 2012-8-23 13:37 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 25 楼 exe和dll无法访问，无法卸载模块，这样就达到了阻隔云上传，是这个意思吗？ 2012-8-23 14:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

viphack

135

发帖

1009

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
cnlamb 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 44 粉丝 0 关注私信	cnlamb 2 楼围观...... 2012-8-22 22:57 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 3 楼看了请顶上去~~亲~~ 高手飘过吧~~ 2012-8-22 22:59 0
yzxdev 雪币： 165 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 118 粉丝 0 关注私信	yzxdev 4 楼我觉得你文字表达都学不好先不要搞这些了。下了视频，没大致看懂，movefile？其实对付各种云很容易，前提是不校验签名，而且一切功能都在ring3实现的话： 1：不要让云检测到有猥琐功能 2：各种block云 3：还是1的做法，但是增加一下，实现一个pe loader 4：anti检测（检测虚拟环境，检测父进程，检测父父进程） 5：更多。。。进了ring0我习惯kill了360.其他的就不扯了 2012-8-22 23:00 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 5 楼果然灵验，一片和谐啊 2012-8-22 23:03 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 6 楼老大我语文就是不好，不好意思啊 2012-8-22 23:05 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 7 楼直接讲原理和过程就行了。。。。 2012-8-22 23:14 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 8 楼看到你发帖就着急.... 别总是拿"我语文不好"当借口,既然知道,干嘛不改? 少发点表情,少用点~~~~,空格用规矩点,说话说完整点,这样很难? 话说到这了,接不接受是你的事,但看雪是公共论坛,不是你的私人博客,别有事没事发一堆不知所云的文字上来,这叫污染视线. 2012-8-22 23:27 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 9 楼我想说脏话. 2012-8-23 00:55 0
ludabiao 雪币： 283 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 77 粉丝 0 关注私信	ludabiao 10 楼汗！不是一般的晕！ 2012-8-23 01:28 0
yzxdev 雪币： 165 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 118 粉丝 0 关注私信	yzxdev 11 楼这不是语文的问题，这是文字表达的问题。 2012-8-23 07:48 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 12 楼汗了解了~~~ 2012-8-23 08:16 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 13 楼我这个人做事情容易急，一着急就会含糊说不清楚，我也不知道为什么，大家有什么解决办法没，人一激动就容易出毛病 2012-8-23 08:18 0
yimingqpa 雪币： 6400 活跃值： (4160) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 498 粉丝 50 关注私信	yimingqpa 1 14 楼前提是驱动能加载上，待加载上后这一切都是浮云. 2012-8-23 09:18 0
cxthl 雪币： 249 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 14 回帖 120 粉丝 0 关注私信	cxthl 2 15 楼驱动都加载不上,怎么hook 2012-8-23 09:19 0
zhangtaopy 雪币： 125 活跃值： (161) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 146 粉丝 0 关注私信	zhangtaopy 1 16 楼拉风大神表示你驱动都加载不起来~ 2012-8-23 09:24 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 17 楼其实有一种RING3 很和谐的方式Load进去. 2012-8-23 09:27 0
z许雪币： 1905 活跃值： (1537) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 18 楼楼主的砖头引出玉了？求详解。 2012-8-23 09:38 0
白玉箫雪币： 351 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 197 粉丝 0 关注私信	白玉箫 19 楼我觉得要是走文件系统的话根本不用hook吧 2012-8-23 09:40 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 20 楼我知道你的意思 2012-8-23 10:13 0
yzxdev 雪币： 165 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 118 粉丝 0 关注私信	yzxdev 21 楼唉,正在运行的文件也是可以MoveFile走的.基础啊. 2012-8-23 10:21 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 22 楼这个我不知道了解了还是直接走这个NtFsControlFile 不过要让文件先完整的执行一次，NtFsControlFile 比较安全好用 2012-8-23 10:41 0
上善若谁雪币： 82 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	上善若谁 23 楼我只是围观一下。 2012-8-23 12:07 0
wfymqj 雪币： 246 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	wfymqj 24 楼不太明白，来围观了 2012-8-23 13:37 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 25 楼 exe和dll无法访问，无法卸载模块，这样就达到了阻隔云上传，是这个意思吗？ 2012-8-23 14:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]让360 金山 。。云见鬼去吧~~

[原创]让360 金山。。云见鬼去吧~~