[讨论]添加启动项-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]添加启动项

发表于: 2016-11-17 19:38 5027

[讨论]添加启动项

我是谁！

2016-11-17 19:38

5027

我想到一个添加启动项的方法供大家参考！

1.我们写启动项，一般也就是调用一系列注册表函数将我们的模块写入run键值

2，这样势必会被某些AV所拦截

3，我们是不是能够将写启动的代码写成shellcode
（编写方法）
坛子里面有很多大牛咯。我就简单说说，第一部获取kernel32的模块基地址，然后通过找到EAT表中的loadlibrary和getproadress,再利用这两个函数找到我们所需要的注册表函数，保存在堆栈中，
有一点就是不能用全局变量，最后测试成功提取出来（累哦）

4，写一个推进器，在远程进程中写入我们的shellcode数组，创建一条远程线程。然后就是run咯。哈哈，这个和溢出有点像是不是。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (20)
Flygend 雪币： 60 活跃值： (252) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	Flygend 2 楼直接监控advapi32.dll你这招就GG了，因为你执行的还是dll里的代码 2016-11-17 19:58 0
bbzwj 雪币： 9 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	bbzwj 3 楼太小瞧数字了 2016-11-17 20:05 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 4 楼主防是无视来源进程的你就是用System进程去写注册表启动项人家一样可以拦截下来当然你都能用System进程干活了，还有怕什么主防，直接ZwTerminateProcess干他就是了 2016-11-17 20:21 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 5 楼真不会这个 2016-11-17 23:39 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 6 楼自己写Run会被拦，乔装打扮冒充别人就不会被拦了吗，太小瞧数字了 2016-11-18 08:43 0
风影残烛雪币： 46 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	风影残烛 7 楼这个被你说准了。乔装打扮还真不会拦。 2016-11-18 08:58 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 8 楼 load不load都一样的，就算你连advapi32、kernel32、ntdll都实现了也照样拦，不在同一个层次的别想绕，人家驱动直接干。远程线程、远程写入数据，都是高危动作 2016-11-18 09:37 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 9 楼那13年的DLL HOOK loadliary之后的某一行地址进行些启动，不知道这个现在还能过防御不。话说这叫（过zhan回溯）？ 2016-11-18 09:59 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 10 楼你们不太过于相信某数字，我手上有一个样本，直接过，当然是多文件的，什么BAT啊，一大堆 2016-11-18 10:00 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 11 楼我只是从技术层面说数字绝对能拦到，至于捕获到它怎么处理那就是数字自己的策略问题了 2016-11-18 10:02 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 12 楼如果要过，是否得在内核绕过他所做的HOOK，但是有一个问题来了，怎么加载我们没有签名的驱动，这个首先就是被拦截的，反正挺郁闷。 2016-11-18 10:06 0
龙幽雪币： 325 活跃值： (171) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 71 粉丝 2 关注私信	龙幽 1 13 楼少年，肯定会被拦截的。话说那么多启动点，为啥非得盯着run不放？几大AV又不是所有点都拦截的 2016-11-18 10:22 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 14 楼哈哈，挖0day啊 2016-11-18 12:05 0
Imyang 雪币： 6003 活跃值： (3490) 能力值： ( LV6，RANK：96 ) 在线值：发帖 17 回帖 180 粉丝 339 关注私信	Imyang 1 15 楼微软有个工具叫autoruns，可以看到很多地方能设置启动项 2016-11-18 13:11 0
祈求者雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 57 粉丝 0 关注私信	祈求者 16 楼创建一条远程线程的时候就被干了 - -！修改下INT，依赖别人的程序加载我们的DLL，这个就等同于感染了，破坏了文件签名，也一样被杀，通常方法基本都用不上的 2016-11-18 14:58 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 17 楼其实那表项的valuedata也是有学问的 2016-11-18 15:46 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 18 楼谢谢指导，我的思路还是太局限了！！ 2016-11-18 15:55 0
jksjian 雪币： 53 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 80 粉丝 0 关注私信	jksjian 19 楼这块可以详细请教楼上,他是专业户. 2016-11-18 15:56 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 20 楼用词不当编辑掉 2016-11-18 20:53 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 21 楼抛砖引玉而已，你有牛B的思路或者code，请拿出来大家分享 2016-11-18 20:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

我是谁！

发帖

420

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
Flygend 雪币： 60 活跃值： (252) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	Flygend 2 楼直接监控advapi32.dll你这招就GG了，因为你执行的还是dll里的代码 2016-11-17 19:58 0
bbzwj 雪币： 9 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	bbzwj 3 楼太小瞧数字了 2016-11-17 20:05 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 4 楼主防是无视来源进程的你就是用System进程去写注册表启动项人家一样可以拦截下来当然你都能用System进程干活了，还有怕什么主防，直接ZwTerminateProcess干他就是了 2016-11-17 20:21 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 5 楼真不会这个 2016-11-17 23:39 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 6 楼自己写Run会被拦，乔装打扮冒充别人就不会被拦了吗，太小瞧数字了 2016-11-18 08:43 0
风影残烛雪币： 46 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	风影残烛 7 楼这个被你说准了。乔装打扮还真不会拦。 2016-11-18 08:58 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 8 楼 load不load都一样的，就算你连advapi32、kernel32、ntdll都实现了也照样拦，不在同一个层次的别想绕，人家驱动直接干。远程线程、远程写入数据，都是高危动作 2016-11-18 09:37 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 9 楼那13年的DLL HOOK loadliary之后的某一行地址进行些启动，不知道这个现在还能过防御不。话说这叫（过zhan回溯）？ 2016-11-18 09:59 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 10 楼你们不太过于相信某数字，我手上有一个样本，直接过，当然是多文件的，什么BAT啊，一大堆 2016-11-18 10:00 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 11 楼我只是从技术层面说数字绝对能拦到，至于捕获到它怎么处理那就是数字自己的策略问题了 2016-11-18 10:02 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 12 楼如果要过，是否得在内核绕过他所做的HOOK，但是有一个问题来了，怎么加载我们没有签名的驱动，这个首先就是被拦截的，反正挺郁闷。 2016-11-18 10:06 0
龙幽雪币： 325 活跃值： (171) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 71 粉丝 2 关注私信	龙幽 1 13 楼少年，肯定会被拦截的。话说那么多启动点，为啥非得盯着run不放？几大AV又不是所有点都拦截的 2016-11-18 10:22 0
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 14 楼哈哈，挖0day啊 2016-11-18 12:05 0
Imyang 雪币： 6003 活跃值： (3490) 能力值： ( LV6，RANK：96 ) 在线值：发帖 17 回帖 180 粉丝 339 关注私信	Imyang 1 15 楼微软有个工具叫autoruns，可以看到很多地方能设置启动项 2016-11-18 13:11 0
祈求者雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 57 粉丝 0 关注私信	祈求者 16 楼创建一条远程线程的时候就被干了 - -！修改下INT，依赖别人的程序加载我们的DLL，这个就等同于感染了，破坏了文件签名，也一样被杀，通常方法基本都用不上的 2016-11-18 14:58 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 17 楼其实那表项的valuedata也是有学问的 2016-11-18 15:46 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 18 楼谢谢指导，我的思路还是太局限了！！ 2016-11-18 15:55 0
jksjian 雪币： 53 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 80 粉丝 0 关注私信	jksjian 19 楼这块可以详细请教楼上,他是专业户. 2016-11-18 15:56 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 20 楼用词不当编辑掉 2016-11-18 20:53 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 21 楼抛砖引玉而已，你有牛B的思路或者code，请拿出来大家分享 2016-11-18 20:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复