绕过杀毒软件之一(实时监控篇)

最新推荐文章于 2022-09-04 16:36:23 发布
最新推荐文章于 2022-09-04 16:36:23 发布
阅读量6.4k 收藏 4
点赞数
文章标签: 杀毒软件 callback resources image null c
杀毒软件的实时监控分为两个部分
  一:Notify部分
  二:Attach到文件系统部分

一:Notify对与杀毒软件致关重要(有些流氓软件也用的),主要用到的是
   PsSetLoadImageNotifyRoutine和
   PsSetCreateProcessNotifyRoutine这两个函数

1 PsSetLoadImageNotifyRoutine(
  IN PLOAD_IMAGE_NOTIFY_ROUTINE  NotifyRoutine
  );
  通过字面意思大家也知道,就是文件被加载的时侯会调用这个 NotifyRoutine ;最简单的是一个Exe在Run的过程中,PE加载器检查它所depend的dll,然后由PE加载器LoadLibaray这些dll,此时 NotifyRoutine 就被调用起来了。
(PS:这个NotifyRoutine就是一个callback)

part1: 2k下的分析 
kd> u PsSetLoadImageNotifyRoutine L10
nt!PsSetLoadImageNotifyRoutine:
804e31d4 b89a0000c0       mov     eax,0xc000009a
804e31d9 33c9             xor     ecx,ecx
804e31db ba20324880       mov     edx,0x80483220
804e31e0 833a00           cmp     dword ptr [edx],0x0
804e31e3 740e             jz      nt!PsSetLoadImageNotifyRoutine+0x1f (804e31f3)
804e31e5 83c204           add     edx,0x4
804e31e8 41               inc     ecx
804e31e9 81fa40324880     cmp     edx,0x80483240
804e31ef 72ef             jb      nt!PsSetLoadImageNotifyRoutine+0xc (804e31e0)
804e31f1 eb1a             jmp     nt!PsSetLoadImageNotifyRoutine+0x39 (804e320d)
804e31f3 8b442404         mov     eax,[esp+0x4]
804e31f7 ff0504324880 inc dword ptr [nt!PspLoadImageNotifyRoutineCount (80483204
)]
804e31fd 89048d20324880 mov [nt!PspLoadImageNotifyRoutine (80483220)+ecx*4],eax
804e3204 33c0             xor     eax,eax
804e3206 c6051031488001 mov byte ptr [nt!PsImageNotifyEnabled (80483110)],0x1
804e320d c20400           ret     0x4

对应c代码:
ULONG i;
NTSTATUS Status;
Status = STATUS_INSUFFICIENT_RESOURCES;
for (i=0; i < PSP_MAX_LOAD_IMAGE_NOTIFY; i++) 
{
    if (PspLoadImageNotifyRoutine[i] == NULL)
   {
        PspLoadImageNotifyRoutine[i] = NotifyRoutine;
        PspLoadImageNotifyRoutineCount+= 1;
        Status = STATUS_SUCCESS;
        PsImageNotifyEnable= TRUE;
        break;
    }
}

我们如果不想让某个 NotifyRoutine 监控,就把它在PspLoadImageNotifyRoutine数组中对应项清空,可是PspLoadImageNotifyRoutine并没有导出,我们不能直接调用,有什么方法呢?

1)  我们自己写个MyNotifyRoutine.
    VOID MyNotifyRoutine(
    IN PUNICODE_STRING  FullImageName,
    IN HANDLE  ProcessId, 
    IN PIMAGE_INFO  ImageInfo)
{
    return;
}

2) PsSetLoadImageNotifyRoutine(MyNotifyRoutine);

3) 直接在PsSetLoadImageNotifyRoutine函数里找有效地址,然后访问这个地址,看有没有MyNotifyRoutine的地址,没有的话再找下一个;

4) 直到找到为止,那么此时这个有效地址就是PspLoadImageNotifyRoutine的地址了

5) 遍历PspLoadImageNotifyRoutine数组中的地址,检查这些地址是否落在某个驱动程序的地址范围,如果是的话,清了这一项,现在再LoadLibrary这个驱动程序就不会收到任何通知了。
如果你闲麻烦就直接把PspLoadImageNotifyRoutine所有项都清理掉。


part2: xp/2003下的分析
lkd> u  PsSetLoadImageNotifyRoutine  L25
nt!PsSetLoadImageNotifyRoutine:
8062d4f7 8bff             mov     edi,edi
8062d4f9 55               push    ebp
8062d4fa 8bec             mov     ebp,esp
8062d4fc 53               push    ebx
8062d4fd 57               push    edi
8062d4fe 33ff             xor     edi,edi
8062d500 57               push    edi
8062d501 ff7508           push    dword ptr [ebp+0x8]
8062d504 e833790100       call    nt!ExAllocateCallBack (80644e3c)
8062d509 8bd8             mov     ebx,eax
8062d50b 3bdf             cmp     ebx,edi
8062d50d 7507             jnz     nt!PsSetLoadImageNotifyRoutine+0x1f (8062d516)
8062d50f b89a0000c0       mov     eax,0xc000009a
8062d514 eb2a             jmp     nt!PsSetLoadImageNotifyRoutine+0x49 (8062d540)
8062d516 56               push    esi
8062d517 be001d5680       mov     esi,0x80561d00
8062d51c 6a00             push    0x0
8062d51e 53               push    ebx
8062d51f 56               push    esi
8062d520 e84e790100       call    nt!ExCompareExchangeCallBack (80644e73)
8062d525 84c0             test    al,al
8062d527 751d             jnz     nt!PsSetLoadImageNotifyRoutine+0x4f (8062d546)
8062d529 83c704           add     edi,0x4
8062d52c 83c604           add     esi,0x4
8062d52f 83ff20           cmp     edi,0x20
8062d532 72e8             jb      nt!PsSetLoadImageNotifyRoutine+0x25 (8062d51c)
8062d534 53               push    ebx
8062d535 e89134f4ff       call    nt!RtlpSysVolFree (805709cb)
8062d53a b89a0000c0       mov     eax,0xc000009a
8062d53f 5e               pop     esi
8062d540 5f               pop     edi
8062d541 5b               pop     ebx
8062d542 5d               pop     ebp
8062d543 c20400           ret     0x4


对应c代码:
     ULONG i;
      PEX_CALLBACK_ROUTINE_BLOCK CallBack;
     CallBack = ExAllocateCallBack((PEX_CALLBACK_FUNCTION) NotifyRoutine, NULL);
      if (CallBack == NULL) {
          return STATUS_INSUFFICIENT_RESOURCES;
      }
  
      for (i = 0; i < PSP_MAX_LOAD_IMAGE_NOTIFY; i++) {
         if (ExCompareExchangeCallBack(&PspLoadImageNotifyRoutine[i],
                                         CallBack,
                                         NULL)) {
              InterlockedIncrement ((PLONG)&PspLoadImageNotifyRoutineCount);
              PsImageNotifyEnable = TRUE;
              return STATUS_SUCCESS;
         }
      }
     ExFreeCallBack(CallBack);

     return STATUS_INSUFFICIENT_RESOURCES;

 
2 PsSetCreateProcessNotifyRoutine

二 Attach到文件系统部分
 
pll621
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
红蓝对抗之红队免杀开发实践
悦分享
08-04 1789
我们在这个加载程序中执行的beacon shellcode最终是一个需要在内存中执行的DLL。许多C2框架利用了Stephen Fewer的。解析加载DLL所需kernel32.dll WINAPI的地址(例如VirtualAlloc, LoadLibraryA等);将DLL及其相应的节写入内存中;建立DLL导入表,以便DLL可以调用ntdll.dll和kernel32.dll WINAPI;加载额外的库并解析其导入函数地址;调用DLL的入口点。...
Cobaltstrike bypass Defender
课嗨教育的专栏
03-16 1068
Defender一直是我们比较头疼的一个东西,相对于其他杀毒软件的可以退出关闭而言,Defender作为微软自带的一款杀毒软件,经常会在未经允许的情况下删除我们本地的东西。就很烦躁。刚好今天群里看到一文章,但是看着觉得眼熟,仔细看了下跟雷石以前的一文章很像,咱们本文就基于cs的exe马简单做个bypass defender的小总结。 参考: https://docs.microsoft.com/en-us/powershell/module/defender/remove-mpprefe...
基于PsSetLoadImageNotifyRoutine实现监控模块加载并卸载已加载模块(卸载DLL、EXE和sys等加载)
苞米地里捉小鸡的博客
09-21 3387
背景 对于内核层实现监控模块的加载,包括加载DLL模块、内核模块等。你也许会想到 HOOK 各种内核函数来实现。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。 但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核下监控用户层上模块加载的情况,即 PsSetLoadImageNotifyRoutine 内核函数,可以设置一个回调函数,来监控监控模块加载。 现在,本文就使用 PsSetLoadI
Kali Linux渗透测试全程课与脚本语言编程系列课程
09-29
一、课程概要         本课程主要分享分享Kali Linux渗透测试全程课与脚本语言编程系列课程! 二、课程目标          本课程致力于帮助广大学员掌握Kali Linux渗透测试与编程技巧! 三、适合人员         本课程适合兴趣计算机与网络安全技术的学员观看学习! 四、特别提醒         本课程支持一次购买,享受永久观看,欢迎大家选购!
android 卸载已加载的so,技术分享 - 基于PsSetLoadImageNotifyRoutine实现监控模块加载并卸载已加载模块...
weixin_30387635的博客
05-27 605
背景对于内核层实现监控模块的加载,包括加载DLL模块、内核模块等。你也许会想到 HOOK 各种内核函数来实现。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核下监控用户层上模块加载的情况,即 PsSetLoadImageNotifyRou...
火绒内核注入dll方式win7-win10通用x64下不触发PG
chio1994的博客
07-09 2339
帖子原地址为:http://www.mengwuji.net/thread-6765-1-1.html 看起来相当简单.结果踩进去以后全都是坑 32位下完工代码地址:http://git.oschina.net/ockdieso/nahequdongzhurudll 只是对哪个帖子做一些...
绕过杀毒软件易语言源码
09-08
绕过杀毒软件 软件顺利运行软件
利用一段代码绕过PHP授权代码
12-30
今天给大家带来一个绕过授权的教程,请仔细看哦! 第一步:首先你需要改名全局文件 比如说全局文件 common.php,那么 你将他改为core.php 第二步:创建文件 创建一个文件,和改名前的全局文件名称一样,然后把...
绕过趋势杀毒卸载密码
07-08
绕过趋势杀毒卸载密码
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
突破主动防御之注册表监控
03-29 1435
文章作者:xyzreg [E.S.T] 目前主动防御的概念已经深入人心,许多杀毒软件、软件防火以及HIPS都具有了注册表监控功能,防止自启动项以及IE相关键值被修改,对防范病毒木马以及流氓软件等恶意程序起到了不小的作用。但是现有的注册表监控并非无懈可击,我们仍然可以绕过注册表监控修改注册表。   绕过注册表监控的方法不止一种,应根据不同情况灵活运用。 除了本演示程序使用的操作HIVE文件修改注册表
突破 Windows NT 内核进程监视设置限制
cnbird's blog
07-20 1061
文章作者:whitecell (sinister_at_whitecell.org)文章来源:安全焦点(www.xfocus.net)Author: PolyMetaEmail: [email protected]:http://www.whitecell.org Date: 2007-06-10监视进程创建和销毁,最常用的手段就是用 PsSetCreateProcess
关于函数PsSetLoadImageNotifyRoutine的通知时机
陈刚编程心得与知识集
01-19 2329
这个回调函数PsSetLoadImageNotifyRoutine当有模块加载时,就会发回调通知,我就是想知道是模块刚刚加载时发出回调通知,还是每个模块加载完后发出回调通知,谢谢 !
ZwSystemDebugControl函数
mergerly的专栏
01-25 3481
使用ZwSystemDebugControl,可以在ring3下读写内核空间虚拟内存 //读取 MEMORY_CHUNKS QueryBuff; DWORD *address2=new DWORD[dwServices]; QueryBuff.Address = dwKernelBase+dwKiServiceTable; QueryBuff.Data = address2;
x64windows安全机制进程_线程_模块加载回调摘要
weixin_30514745的博客
11-23 212
x64上面的每个回调都会对应一个count计数。注册表回调也会有。保存PspNotifyEnableMask标志,每个位分别代表相应的回调是否存在。 对应的位和相应的汇编代码如下。即使这个回调已经被杀毒软件注册了,我们通过定位相应的count并将其清0或者将相应的标志位置为0就可以让相应的回调得不到执行。 从而禁用掉杀软的安全机制。 PspNotifyEnableMask ...
Windows下基础免杀技术
MachineGunJoe666
09-04 1393
例如,CS可以直接生成各种格式的shellcode。
PsSetLoadImageNotifyRoutine loadImageNotifyRoutine 中拿全路径
编程论坛
06-19 1047
PsSetLoadImageNotifyRoutine#include &lt;ntifs.h&gt;#include &lt;ntddk.h&gt;#include &lt;Ntstrsafe.h&gt;#include &lt;fltKernel.h&gt;//删除指针#define SafeFreeDelete(pData) { if(pData){ExFreePool(pData);pDa...
python病毒代码绕过杀毒软件
最新发布
03-14
很抱歉,我不能提供关于编写病毒代码或绕过杀毒软件的信息。这些行为是非法的,并且违反了道德和法律规定。编写和传播病毒是对他人计算机安全的威胁,可能导致数据丢失、系统崩溃以及个人隐私泄露等问题。作为一个AI...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值