干货 | Syscall免杀的高阶对抗 （建议收藏）

文章预览

微信公众号： 渊龙Sec安全团队 为国之安全而奋斗，为信息安全而发声！ 如有问题或建议，请在公众号后台留言 如果你觉得本文对你有帮助，欢迎在文章底部赞赏我们 1# 免杀现状概述 从现在杀软对抗的角度和技术来讲， syscall 可以说是 loader 中一个不可缺少的技术。为什么 syscall 逐渐成为主流？ 很早之前杀软其实只会对 kernel32 中一些函数进行 hook ，所以恶意程序开发者使用 ntdll 中的函数去实现 loader 的免杀效果是远高于直接或者间接使用 kernel32 中的函数，比如 VirtualAlloc 之类的函数。 我们又不能直接通过动态调用的方式的去加载 ntdll 中的函数，原因是调用链比较明显（使用 GetModuleHandle ， GetProcAddress ）。 随着时代的进步，逐渐有人创造 间接调用 这个概念，也就是我们现在熟悉的 地狱之门 ，当然这里我们不再去深度讨论一些关 ………………………………