专栏名称: 渗透Xiao白帽
早起的鸟儿有虫吃!相互学习分享涨知识。会不定期分享一些网络安全相关内容.
今天看啥  ›  专栏  ›  渗透Xiao白帽

干货 | Syscall免杀的高阶对抗 (建议收藏)

渗透Xiao白帽  · 公众号  ·  · 2024-07-15 15:00

文章预览

微信公众号: 渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 1# 免杀现状概述 从现在杀软对抗的角度和技术来讲, syscall 可以说是 loader 中一个不可缺少的技术。为什么 syscall 逐渐成为主流? 很早之前杀软其实只会对 kernel32 中一些函数进行 hook ,所以恶意程序开发者使用 ntdll 中的函数去实现 loader 的免杀效果是远高于直接或者间接使用 kernel32 中的函数,比如 VirtualAlloc 之类的函数。 我们又不能直接通过动态调用的方式的去加载 ntdll 中的函数,原因是调用链比较明显(使用 GetModuleHandle , GetProcAddress )。 随着时代的进步,逐渐有人创造 间接调用 这个概念,也就是我们现在熟悉的 地狱之门 ,当然这里我们不再去深度讨论一些关 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览