能力值:
( LV2,RANK:10 )
|
-
-
2 楼
直接监控advapi32.dll你这招就GG了,因为你执行的还是dll里的代码
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
太小瞧数字了
|
能力值:
( LV9,RANK:280 )
|
-
-
4 楼
主防是无视来源进程的
你就是用System进程去写注册表启动项人家一样可以拦截下来
当然你都能用System进程干活了,还有怕什么主防,直接ZwTerminateProcess干他就是了
|
能力值:
(RANK:20 )
|
-
-
5 楼
真不会这个
|
能力值:
( LV8,RANK:130 )
|
-
-
6 楼
自己写Run会被拦,乔装打扮冒充别人就不会被拦了吗,太小瞧数字了
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
这个被你说准了。乔装打扮还真不会拦。
|
能力值:
( LV4,RANK:50 )
|
-
-
8 楼
load不load都一样的,就算你连advapi32、kernel32、ntdll都实现了也照样拦,不在同一个层次的别想绕,人家驱动直接干。
远程线程、远程写入数据,都是高危动作
|
能力值:
(RANK:20 )
|
-
-
9 楼
那13年的DLL HOOK loadliary之后的某一行地址进行些启动,不知道这个现在还能过防御不。
话说这叫(过zhan回溯)?
|
能力值:
(RANK:20 )
|
-
-
10 楼
你们不太过于相信某数字,我手上有一个样本,直接过,当然是多文件的,什么BAT啊,一大堆
|
能力值:
( LV8,RANK:130 )
|
-
-
11 楼
我只是从技术层面说数字绝对能拦到,至于捕获到它怎么处理那就是数字自己的策略问题了
|
能力值:
(RANK:20 )
|
-
-
12 楼
如果要过,是否得在内核绕过他所做的HOOK,但是有一个问题来了,怎么加载我们没有签名的驱动,这个首先就是被拦截的,反正挺郁闷。
|
能力值:
( LV4,RANK:50 )
|
-
-
13 楼
少年,肯定会被拦截的。话说那么多启动点,为啥非得盯着run不放?几大AV又不是所有点都拦截的
|
能力值:
( LV8,RANK:130 )
|
-
-
14 楼
哈哈,挖0day啊
|
能力值:
( LV6,RANK:96 )
|
-
-
15 楼
微软有个工具叫autoruns,可以看到很多地方能设置启动项
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
创建一条远程线程的时候就被干了 - -! 修改下INT,依赖别人的程序加载我们的DLL,这个就等同于感染了,破坏了文件签名,也一样被杀,通常方法基本都用不上的
|
能力值:
( LV12,RANK:320 )
|
-
-
17 楼
其实那表项的valuedata也是有学问的
|
能力值:
(RANK:20 )
|
-
-
18 楼
谢谢指导,我的思路还是太局限了!!
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
这块可以详细请教楼上,他是专业户.
|
能力值:
( LV4,RANK:50 )
|
-
-
20 楼
用词不当 编辑掉
|
能力值:
(RANK:20 )
|
-
-
21 楼
抛砖引玉而已,你有牛B的思路或者code,请拿出来大家分享
|
|
|