文章预览
微信公众号: 渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 1# 免杀现状概述 从现在杀软对抗的角度和技术来讲, syscall 可以说是 loader 中一个不可缺少的技术。为什么 syscall 逐渐成为主流? 很早之前杀软其实只会对 kernel32 中一些函数进行 hook ,所以恶意程序开发者使用 ntdll 中的函数去实现 loader 的免杀效果是远高于直接或者间接使用 kernel32 中的函数,比如 VirtualAlloc 之类的函数。 我们又不能直接通过动态调用的方式的去加载 ntdll 中的函数,原因是调用链比较明显(使用 GetModuleHandle , GetProcAddress )。 随着时代的进步,逐渐有人创造 间接调用 这个概念,也就是我们现在熟悉的 地狱之门 ,当然这里我们不再去深度讨论一些关
………………………………