

















基于 BYOVD 的 Windows 内核态任意写(Arbitrary Write)免杀技术探讨 今天聊聊免杀, 本技术及代码仅供合法合规的安全研究与防御提升使用,严禁用于任何非法攻击;因不当使用导致的系统崩溃或法律后果,均由行为人自行承担。 流行的免杀大类基本分为一体的注入,但是这种对于静态分析较为明显,也是最初级的一种 再者是引入加载器loader,也就是机器码与loader分开,这样可以大大降低被杀的风险, 双边进行多重的分块强加密,最后进行拼组,对于免杀绕过效率会大大提高,我在之前 也是手搓过一个示例,过了大部分杀软 以及诸多DLL白加黑,加壳,签名等等的技术 当然,今天的重点不是这些方法, 这次主要谈谈内核态的进阶免杀理解 都知道,杀软都是有静态和动态免杀的,而这些时候 windows在10/11的杀软策略尤为激进, 引入了大量的底层hook,即使加密在最后拼凑的时候还是会触发api的hook 这里介绍其中一种进阶方法 在windows底层api之下,存在systemcall,也就是内核方法的入门 程序如果对于内核进行调用,是可以绕开常规ho...
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。