我的免杀之路：虚拟保护-阿里云开发者社区

我的免杀之路：虚拟保护

2021-12-06 687

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 虚拟保护技术利用的是 Windows API 中的 VirtualProtect 函数，是对应 Win32 函数的逻辑包装函数，它会在呼叫处理程序的虚拟位置空间里，变更认可页面区域上的保护。

简述

虚拟保护技术利用的是 Windows API 中的 VirtualProtect 函数，是对应 Win32 函数的逻辑包装函数，它会在呼叫处理程序的虚拟位置空间里，变更认可页面区域上的保护。说明白点，它的作用就是改变调用进程的一段页的保护属性，如果想要改变其他进程，就需要用到 VirtualProtectEx 函数。这里，我利用 VirtualProtect 函数将 shellcode 所在内存区域设置为可执行模式，并且设置好 shellcode 所在内存起始地址以及内存原始属性类型保存地址，这样的 shellcode 内存区域被设置成可执行模式后，shellcode 就会被正常执行了。

实现思路

关于VirtualProtect函数代码如下：

func VirtualProtect(lpAddress unsafe.Pointer, dwSize uintptr, flNewProtect uint32, lpflOldProtect unsafe.Pointer) bool {

ret, _, _ := procVirtualProtect.Call(

uintptr(lpAddress),

uintptr(dwSize),

uintptr(flNewProtect),

uintptr(lpflOldProtect))

return ret > 0

}

简单的解释下以上的参数

lpAddress：要改变属性的内存起始地址（shellcode所在内存空间的起始地址）