注册    登录
今天看啥  ›  专栏  ›  重生信息安全

杀软EDR对抗-脱钩

重生信息安全  · 公众号  ·  · 2023-06-03 14:49

文章预览

1.杀软挂钩的工作原理     一般的杀毒软件会在我 们进程启动的时候注入DLL到进程中,然后对系统函数进行Hook(挂钩).从而拦截我们进程 的执行流程,当然这个流程只针对于未被添加到白名单的程序.我们来看下效果图. 这里我设置了白名单为apps目录,在次目录下不会被检测. 我们运行一个系统自带的软件Notepad来看下效果. 首先X64dbg附加进程 我们随便搜索一个函数看看是否被HOOK 可以发现函数被jmp了,那么是不是我们的函数被HOOK了,如果不清楚我们在运行一个白名单里面的程序看下,或者看JMP后到那里就可以知道了,我们这里对比一下即可. 对比发现为在白名单里面的程序,被挂钩了. 这里我们写一个注入程序,看看是否还能注入到进程中 # include   # include   # include   # include   # include   # include   # include   # pragma  comment (lib, "crypt32.lib" ) # pragma  comment (lib, "adva ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览
推荐文章
中国铁建  ·  国庆我在岗丨突破30000米!西十高铁建设取得重大突破
昨天
中国交建  ·  “中交蓝”遇到“中国红”!用镜头定格中交人的最美瞬间
2 天前
北京亦庄  ·  一组国庆九宫格海报,惊艳你的朋友圈!
4 天前
中铁国际集团  ·  赵金祥赴印尼调研指导国别工作并开展商务活动
5 天前
软件小妹  ·  某文ku下载,确实牛!
6 天前
软件小妹  ·  某文ku下载,确实牛!
6 天前
关于   移动版   ·   Py中国   ·   RSS之家   ·   CodingPro   ·   Code   ·   Link之家   ·   卧龙AI搜索   ·   小百科
今天看啥 - 微信公众号rss订阅, 微信rss, 稳定的RSS源
© 2024 ~ 沪ICP备11025650号