首页
社区
课程
招聘
[原创]小议“非法模块”与“第三方检测”的那些事儿(2)
发表于: 2013-4-19 13:24 23032

[原创]小议“非法模块”与“第三方检测”的那些事儿(2)

2013-4-19 13:24
23032

铸矛之人,必精造盾之术。
造盾之人,必解铸矛之术。

上一贴中简单说了一下非法模块的初级阶段的检测,其实还有更高级的检测模式,就是加载检测。
(1)中的所有的检测手段都可以通过重加载模块+抹掉PE+关闭模块相关句柄来实现回避
(重加载的代码,Winker同学发过了,就不重复了。)
但这种方法对于本帖所说加载检测通常是通过Hook 加载用API来实现,
比如ntdll!LdrLoadDll这样的API,
对于这种加载检测,通常对抗手段是无效的(隐藏无效,重加载无效),
只能依靠白名单或者监控开启时间来绕过。
如通过较早的注入手段注入可以绕过大部分加载监控方式的检测(比如 导入表注入,OEP注入,TLS注入...);
或者利用白名单,如SPI过滤或者输入法,
或者利用无法被监控的方式,如对knowndlls的section(lpk.dll的section)进行污染的方式注入。

同理对抗上也有通过驱动级ImageLoadNotifyRoutine来进行检控的(可以对抗早期OEP注入,TLS注入,导入表注入);
对于白名单上的注入,可以通过加强特征扫描来处理,或者云扫描;
对于Section污染,可以采用对KnowDlls的Section对应DLL进行HASH效验来检测。
至于更深层次的对抗,欢迎使用IGS的培训服务。

(2)本篇主要内容:初级第三方检测。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 6
支持
分享
最新回复 (38)
雪    币: 78
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
我师父又发清华了
2013-4-19 13:30
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
3
猪八戒不是我徒弟吧,我记得最后一个弟子是 佐助...
2013-4-19 13:31
0
雪    币: 78
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
开个玩笑,主要是太膜拜V校了,
2013-4-19 14:26
0
雪    币: 596
活跃值: (449)
能力值: ( LV12,RANK:320 )
在线值:
发帖
回帖
粉丝
5
佐助来了
2013-4-19 18:31
0
雪    币: 148
活跃值: (59)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
6
啊哈哈哦吼吼
2013-4-19 21:52
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
7
更新,补完,坐等回帖50楼出(3)
2013-4-20 12:55
0
雪    币: 485
活跃值: (78)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
8
尾随学习~~~!!!
2013-4-20 13:01
0
雪    币: 347
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
9
虽然不太懂,顶一下
2013-4-20 13:02
0
雪    币: 84
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
后排贩卖。。瓜子花生饮料。。。话说。。给力的不行去搜a大的代码看看。。
2013-4-20 13:08
0
雪    币: 92
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
佐助 终于从良了 奔赴战场了
2013-4-20 21:48
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
12
话说,这周咋样了?
航线走到哪里了?
2013-4-20 22:55
0
雪    币: 92
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
这周停刊了

上周说到

一代 二代 三代 四代 佐助一伙 还有你(大蛇丸) 一起奔赴战场 与 斑 决一死战了
ps :  还是得老将出马 新生代的影 被 斑 干稀碎  火影终于要完结了
2013-4-21 06:25
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
14
次奥,我是问你到OP没~~不是说我,佐助这洗白太快了~
2013-4-21 11:58
0
雪    币: 43
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
听说就要完结了。楼主你有什么打算撒?
2013-4-21 14:20
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
16
完结了,还有别的可以追~~
2013-4-21 15:21
0
雪    币: 92
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
\

OP漫画很久没追了 我一直追的动画 快70G了
现在我觉得 全职猎人 不错
我看的可能少 像 妖尾 都不行了
2013-4-21 19:37
0
雪    币: 21
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
V校的文章,来拜读下
2013-4-23 17:20
0
雪    币: 92
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
大蛇丸老大也是大连的?
2013-4-24 15:22
0
雪    币: 7361
活跃值: (4562)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
呵呵,会不会就是郁金香“老师”!?郁金香老师在做培训之前也自诩自己是拥有某某头衔。。。而实际上却是老黄卖瓜。(猜测的,别喷我哦。。。。)
崇拜 海风月影,出了国际著名的东西,却“默默无闻”
2013-4-24 15:42
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
21
从来不自诩~,很多称呼都是朋友送的~。
2013-4-24 17:43
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
22
是啊~~这面天气适宜啊~~
2013-4-24 17:45
0
雪    币: 92
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
原来咱们大连也卧虎藏龙啊
2013-4-25 09:09
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
24
龙公子和虎哥都不在大连了~~

我只是个苦工...
2013-4-25 11:07
0
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
25
个人感觉游戏进行云扫描有压力,要做得好投入有点大。样本抓少了没效果,抓多了忙不过来。
2013-4-29 23:13
0
游客
登录 | 注册 方可回帖
返回
//