C++免杀

简介:
假设我们的特征码定位在MessageBoxA函数的地址(只是举个例子,一般这个函数不会被杀,其他函数也类似方法)那么我们到源码里面发现,我们在PrintMsg函数中调用了这个API函数,那么我们就要对他进行处理。对于输入表被查杀我们一般的处理方法是修改函数的调用方式,比如采用dll动态调用,通过上图,我们知道我们是以非unicode方式编译的MessageBox,他对应的非Unicode的函数为MessageBoxA,同时我们也得到这个MessageBoxA函数在UER32.dll文件中。那么我们修改MessageBox的调用方式为dll的动态调用,其代码修改成:
typedef int (WINAPI *MessageBoxAT)
(
  HWND hWnd,
  LPCSTR lpText,
  LPCSTR lpCaption,
  UINT uType
);

void PrintMsg()
{
  char StrMsg[]="FgneL!olleH";
  MessageBoxAT pMessageBoxA= (MessageBoxAT)GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA");
  pMessageBoxA(NULL,strrev(StrMsg),NULL,MB_OK);
}
这样以后我们就修改了输入表中调用API函数的名称了。其他API函数也可以类似的修改调用方式。



本文转自94cool博客园博客,原文链接:http://www.cnblogs.com/94cool/archive/2012/10/31/2747403.html,如需转载请自行联系原作者
相关文章
|
网络协议 网络安全
Powershell免杀(无文件落地免杀)
无文件落地 顾名思义,无需将恶意文件传到目标服务器/机器上,直接利用powershell的特性加载到内存执行。为了在红队行动中更隐蔽的实施攻击以及横向移动,同时还可以解决目标不出网只能通过dns上线时的棘手问题,利用powershell可以避免一行行echo。 通过两种方式进行无文件落地的免杀,一种是出网的情况,另一种为不出网情况。 声明: 文章内容仅供网络安全爱好者学习使用,请勿用文章中提到的技术或工具做违法的事情,否则后果自负。
1193 0
|
开发框架 安全 .NET
冰蝎WebShell免杀工具(支持4.0.6)
冰蝎WebShell免杀工具(支持4.0.6)
677 0
|
安全 Windows
【工具分享】免杀360&火绒的shellcode加载器
【工具分享】免杀360&火绒的shellcode加载器
396 0
|
安全 数据安全/隐私保护 C++
【免杀】C++静态免杀学习
【免杀】C++静态免杀学习
461 0
|
Windows
Invoke-Obfuscation混淆免杀过360和火绒(下)
Invoke-Obfuscation混淆免杀过360和火绒
175 0
|
安全 网络安全 数据安全/隐私保护
Invoke-Obfuscation混淆免杀过360和火绒(上)
Invoke-Obfuscation混淆免杀过360和火绒
222 0
|
安全 PHP
webshell免杀中符号的妙用
webshell免杀中符号的妙用
|
安全 编译器 PHP
webshell免杀之函数与变量玩法
webshell免杀之函数与变量玩法
|
PHP
pikachu靶场通关秘籍之文件包含攻击
pikachu靶场通关秘籍之文件包含攻击
145 0
|
数据安全/隐私保护
Powershell免杀系列(二)
Powershell免杀系列(二)
335 0