有一段时间没有更新文章,在此跟大家说一声抱歉。最近事情比较多,博客数据被不小心清空,现在网站备案又不能用了。网站备案需要一段时间,可能这一段时间网站都不能访问。
现在国内的杀毒软件也是越来越牛逼,不在像以前那样弱鸡。如果是站在网络安全的角度,这是一件值得高兴的事。但是如果是站在黑客的角度,这可能就不是什么值得高兴的事情,意味着门槛的提高。本文章转载至《黑客技术流》
image
就拿国内比较厉害的杀毒软件来说,你的木马就算是把杀毒软件的所有引擎都给免杀。但是然而并没有什么卵用,因为你的木马也是只能够存活一天。应为你一关机木马就死了。
image
注册表拦截只要杀毒软件的主动防御一开,开机启动项你根本写不进去。写注册表有注册表防御,文件有文件实时监控防护。只要是敏感操作,杀毒软件全部给你拦截下来。
当然也不是没有办法,如果你编程技术牛P,直接把木马写到计算机底层。让杀毒软件动不了你,前提是你有很过硬的编程技术,否则就另当别论。
image
除了写底层木马之外,你还可以拿第三方软件开刀,通过第三方安全软件来执行一些敏感操作。这些安全软件基本上都在杀毒软件的白名单里。
白名单是为了防止杀毒软件的误杀和安全提示,这些安全软件有很多列如:搜狗输入法 QQ音乐 爱奇艺 QQ .等等,这样的软件有很多很容易找。
image
如何寻找这些白文件?寻找这些文件有几个条件,首先是exe文件体积不能太大,还有就是依赖DLL最少,不同的windows版本下都可以运行。最重要的是有安全数字标签。不然找了也是白找。列如:
image
白文件如何使用?把你的木马程序写到木马DLL里面去,这样正规程序调用了木马DLL,你的木马程序就可以正常上线。在把正规程序调用的函数转发到附带DLL上,正规程序自然也就能正常运行了。
image
上面这个方法是用到了DLL劫持,之前我看别人是直接用LoadPE给正规程序增加一个输入库,然后程序运行就一定需要你的木马DLL支持了,不然就运行不起来报错。方法有很多自己去实践,具体实现过程我就不公布了。
网友评论