首页
社区
课程
招聘
[讨论]添加启动项
发表于: 2016-11-17 19:38 5027

[讨论]添加启动项

2016-11-17 19:38
5027
我想到一个添加启动项的方法供大家参考!

1.我们写启动项,一般也就是调用一系列注册表函数将我们的模块写入run键值

2,这样势必会被某些AV所拦截

3,我们是不是能够将写启动的代码写成shellcode
(编写方法)
坛子里面有很多大牛咯。我就简单说说,第一部获取kernel32的模块基地址,然后通过找到EAT表中的loadlibrary和getproadress,再利用这两个函数找到我们所需要的注册表函数,保存在堆栈中,
有一点就是不能用全局变量,最后测试成功提取出来(累哦)

4,写一个推进器,在远程进程中写入我们的shellcode数组,创建一条远程线程。然后就是run咯。哈哈,这个和溢出有点像是不是。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (20)
雪    币: 60
活跃值: (252)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
直接监控advapi32.dll你这招就GG了,因为你执行的还是dll里的代码
2016-11-17 19:58
0
雪    币: 9
活跃值: (41)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
太小瞧数字了
2016-11-17 20:05
0
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
4
主防是无视来源进程的
你就是用System进程去写注册表启动项人家一样可以拦截下来
当然你都能用System进程干活了,还有怕什么主防,直接ZwTerminateProcess干他就是了
2016-11-17 20:21
0
雪    币: 115
活跃值: (23)
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
5
真不会这个
2016-11-17 23:39
0
雪    币: 2291
活跃值: (938)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
6
自己写Run会被拦,乔装打扮冒充别人就不会被拦了吗,太小瞧数字了
2016-11-18 08:43
0
雪    币: 46
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
这个被你说准了。乔装打扮还真不会拦。
2016-11-18 08:58
0
雪    币: 293
活跃值: (287)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
load不load都一样的,就算你连advapi32、kernel32、ntdll都实现了也照样拦,不在同一个层次的别想绕,人家驱动直接干。
远程线程、远程写入数据,都是高危动作
2016-11-18 09:37
0
雪    币: 115
活跃值: (23)
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
9
那13年的DLL  HOOK  loadliary之后的某一行地址进行些启动,不知道这个现在还能过防御不。
话说这叫(过zhan回溯)?
2016-11-18 09:59
0
雪    币: 115
活跃值: (23)
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
10
你们不太过于相信某数字,我手上有一个样本,直接过,当然是多文件的,什么BAT啊,一大堆
2016-11-18 10:00
0
雪    币: 2291
活跃值: (938)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
11
我只是从技术层面说数字绝对能拦到,至于捕获到它怎么处理那就是数字自己的策略问题了
2016-11-18 10:02
0
雪    币: 115
活跃值: (23)
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
12
如果要过,是否得在内核绕过他所做的HOOK,但是有一个问题来了,怎么加载我们没有签名的驱动,这个首先就是被拦截的,反正挺郁闷。
2016-11-18 10:06
0
雪    币: 325
活跃值: (171)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
少年,肯定会被拦截的。话说那么多启动点,为啥非得盯着run不放?几大AV又不是所有点都拦截的
2016-11-18 10:22
0
雪    币: 2291
活跃值: (938)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
14
哈哈,挖0day啊
2016-11-18 12:05
0
雪    币: 6003
活跃值: (3490)
能力值: ( LV6,RANK:96 )
在线值:
发帖
回帖
粉丝
15
微软有个工具叫autoruns,可以看到很多地方能设置启动项
2016-11-18 13:11
0
雪    币: 103
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
创建一条远程线程的时候就被干了 - -!  修改下INT,依赖别人的程序加载我们的DLL,这个就等同于感染了,破坏了文件签名,也一样被杀,通常方法基本都用不上的
2016-11-18 14:58
0
雪    币: 596
活跃值: (449)
能力值: ( LV12,RANK:320 )
在线值:
发帖
回帖
粉丝
17
其实那表项的valuedata也是有学问的
2016-11-18 15:46
0
雪    币: 115
活跃值: (23)
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
18
谢谢指导,我的思路还是太局限了!!
2016-11-18 15:55
0
雪    币: 53
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
这块可以详细请教楼上,他是专业户.
2016-11-18 15:56
0
雪    币: 522
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
20
用词不当   编辑掉
2016-11-18 20:53
0
雪    币: 115
活跃值: (23)
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
21
抛砖引玉而已,你有牛B的思路或者code,请拿出来大家分享
2016-11-18 20:56
0
游客
登录 | 注册 方可回帖
返回
//