【网络安全】DRIDEX木马巧用VEH混淆API调用流程

最新推荐文章于 2023-03-24 23:26:32 发布
最新推荐文章于 2023-03-24 23:26:32 发布
阅读量4.2k 收藏 2
点赞数 5
分类专栏: 安全 网络 黑客 文章标签: web安全 ide 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/121210237
版权

情报背景

DRIDEX是自2014年起活动至今的著名恶意银行木马家族,通常以OFFICE文档的方式进行文档钓鱼攻击。0xCERT的研究人员将其描述为精于防御规避的信息与凭据窃取恶意软件,利用众多C&C服务器令针对其的网络·封锁无能为力。DRIDEX在其历史行动中曾多次运用高级防御规避技术隐匿其恶意行为,其v4版本是第一个使用AtomBombing进程注入技术的恶意软件。

学习资料

而本文中将对其近期样本中利用向量化异常处理(VEH)机制混淆其API函数调用的手法进行分析研判,该手法对于动态静态分析均有较好的对抗效果。
在这里插入图片描述

攻击技术分析

亮点:利用VEH进行API调用混淆

关于向量化异常处理(VEH)

向量化异常处理(VEH)是结构化异常处理(SEH)的扩展,VEH的优先级先于SEH,且不依赖栈结构,而是以双链表的形式保存在堆中。应用程序可通过AddVectoredContinueHandler函数注册异常处理函数

最低0.47元/天 解锁文章
IT老涵
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
WAF绕过-木马混淆免杀姿势
告白的博客
08-27 826
0x00 简介 为了获取对方的控制权,通常会采取使用代码木马执行,使用shell工具连接,但是往往注入代码会被waf拦截,无法注入也就无法获取shell连接,就算绕过代码检测之后,执行的行为也可能被waf设备拦截,导致无法执行shell操作,下面从代码的注入绕过,与代码注入后执行操作绕过总方法,下面总结几种最新的绕过姿势。 常见脚本: PHP, JSP, ASP, ASPX, Pytohn… 常见shell工具:中国菜刀, 蚂蚁宝剑, 冰蝎 比较推荐使用冰蝎适合后渗透,菜刀的使用比较局限也没有更新了, 菜
常用的Win API函数
Yatere的天平秤
05-15 671
<br /><br />1、限制程序功能函数 <br />EnableMenuItem 允许、禁止或变灰指定的菜单条目 <br />EnableWindow 允许或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰) <br />2、对话框函数 <br />CreateDialog 从资源模板建立一非模态对话窗 <br />CreateDialogParam 从资源模板建立一非模态对话窗 <br />CreateDialogIndirect 从内存模板建立一非模态对话窗 <br />CreateDialogI
原神反调试分析
热门推荐
u011442768的博客
10-21 1万+
打开CE,打开原神启动器。 至此,游戏未加载驱动。启动器可以被CE正常读写。 打开原神,CE中选择YuanShen.exe,发现原神并不能被读写。 尝试分析不能读写的原因。 CE调用的读取内存函数是NtReadVirtualMemory 猜测有三种可能 1.NtReadVirtualMemory被HOOK 2.ObCallBack 3.infinityhook 第一种情况因为X64系统PatchGuard的存在排除。当然VT也是有可能的,现在先不考虑。 第二种情况是最有可能的。 第三种情况感觉不大靠谱。
汇编级别反调试(2)
青月的成长记录吖
03-24 468
如果可执行文件最初是在没有上述结构的情况下创建的,或者 GlobalFlagsClear = 0,则在磁盘或内存中,该字段将具有非零值,表示存在隐藏的调试器。如果程序是32位的,但是运行在64位系统上,遇到 WOW64 “天堂门”技术,可以通过下面代码,获取到单独创建的PEB结构: 你可以参考Get 32bit PEB of another process from a x64 process 同样的需求: 64位进程需要获取运行在WOW64中32位程序的PEB环境。并在原始调用结束后恢复线程环境。
26种对付反调试的方法
weixin_34235371的博客
05-15 4499
2019独角兽企业重金招聘Python工程师标准>>> ...
易语言-利用硬断+VEH实现APIHOOK
06-25
所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持CdeclContext->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用API 大牛就...
利用硬断+VEH实现APIHOOK源码
06-06
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl。Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 。代码里有一点点注释将就着看吧 原理也很简单 ...
利用硬断+VEH实现APIHOOK源码-易语言
06-12
由于E写的可能有点特殊错误 所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持Cdecl Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以...
e语言-利用硬断 VEH实现APIHOOK
08-23
所以附上C源码和C编译的DLL一份 DLL要用动态调用 E不支持CdeclContext->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用API 大牛...
VEH硬件断点劫持
07-17
VEH-硬件断点+dll劫持内存补丁vs2008源码
CE-VEH下段崩溃处理.e
02-15
最新 CE VEH下段处理 源码 win7 win110 都测试过了 全部可以正常使用 声明:个别win10不能使用的话 请自己换系统 谢谢
处理veh调试器检测_越狱检测抖音逻辑???
weixin_33066433的博客
01-08 1975
对于应用安全甲方一般会在这三个方面做防御.按逻辑分类的话应该应该分为这几类, 但如果从实现原理的话, 应该分为两类, 用API实现的 和 不用API实现的(这说的不用 API 实现, 不是指换成 inine 函数就行) . 首先使用 API 实现基本统统沦陷. 直接通过指令实现的机制还有一丝存活的可能. 逻辑的话应该分为, 反调试, 反注入, 越狱检测, hook 检测.arm64 相关...
异常与调试之SEH、UEH、VEH、VCH以及SEH的区别总结——简单好理解
TCP_321的博客
12-08 6336
1.VEH (向量异常) // VEH: 向量化异常处理的一种,被保存在一个全局的链表中,进程内的所有线程都可 // 以使用这个函数,是第一个处理异常的函数。 异常处理函数: LONG NTAPI AddVectoredExceptionHandler( _In_UlON First, 异常处理函数被调用的顺序 _In_PVECTORED_EXECUTE_HANDLER Handler 异常处理回调函数 ) AddVectoredExceptionHandler(TRUE...
软件逆向高级工程
09-08
前言最近随着计算机的发展,软件日益更新,有很多公司发布的产品遭到篡改和破解,在总众多年的历史种逐渐形成了软件保护与软件破解之间的对抗产生了软件逆向工程这本门技术将在如下的课程讲解各种软件逆向知识,软件保护知识,已经破解脱壳反调试知识,为初期学软件逆向不懂而又迷茫的同学门指明一条道路此套课堂能有效帮助同学们解决软件逆向中所遇到的大部分问题大纲软件逆向工程高级班分为反调试篇汇编篇算法篇补丁篇HOOK篇将在如上这几篇对软件逆向的各个方面进行详解,包括网络验证的分析思路,封包算法的提取,以及各种软件保护技术,无论哪一篇都会从诸多个方面的细节进行详解反调试篇:分为PEB,时间校验,CRC,NtQuery函数,内核过渡等知识要领与诸多方面的综合性详解,细节分为每一节课,每一节课目标清晰无比,每一节深入精髓进行讲解!汇编篇:一个程序编译完成之后是如何通过在计算机运行起来的,其中少不了底层知识的汇编指令,汇编篇中将深入浅出的带领同学们对MASM32SDK的一套汇编库中开发程序,熟悉汇编的原理,如何运用汇编写出一套花指令,并且去除指令,方便以后的算法学习以及为今后的学习打下坚实的基础算法篇:随着编程语言的发展,编程语言的标准也在发展,一些编译器善于运用数学的手法,对程序进行各种优化,然后我们进行分析,我们得需要一步步还原这个优化或清晰了解这个优化才有可能掌握这个数学模型优化,进一步还原代码,算法篇知识要领将在优化,技这方面表现的玲离尽致!此篇会带领同学们分析多个语言的算法,包括C/C++算法还原代码还原易语言代码还原 算分开库的实现,制作自己的第一个注册机等!补丁篇:说到补丁,同学们可能第一个想到的就是对方一些网络验证所用到的技,我的课程这一方面虽有涉及,但是补丁技术远远不止这一点,我的课程会详解更多的补丁知识原理,包括什么是补丁,补丁的真正概念,前辈们是如何善用补丁对程序的漏洞进行修补损坏的程序。将在此篇一一介绍HOOK篇:详细详解了各种HOOK的原理以及实现代码,包括网上流行所说的超级HOOK,COMHOOK,协议HOOK,代理中转等方法,怎么定位关键位置,环境的保存知识要领,hook关键的注意事项,为自己以后做hook行业打下坚实的基础课程每一个细节讲究的深入骨髓,通俗易懂的学习方式,全程贯彻原理,软件逆向中必不可少少的教程!
权限控制WAF绕过之木马混淆免杀
m0_61506558的博客
10-03 735
当我们把有侵入性的代码写进去时,通过指纹信息,从而招到WAF的拦截,为了获取对方的控制权,通常会采取使用代码木马执行,使用shell工具连接,但是往往注入代码会被waf拦截,无法注入也就无法获取shell连接,就算绕过代码检测之后,执行的行为也可能被waf设备拦截,导致无法执行shell操作,下面从代码的注入绕过,与代码注入后执行操作绕过总方法,下面总结几种最新的绕过姿势。(一)变量覆盖我们就以为例,禁止使用简单的变量传递,大多数waf具有变量追踪,必需要引入变量覆盖传递参数。?
一句话木马,小马,大马,混淆一句话木马
Jim的博客
08-30 8251
php                 @$_='s'.'s'./*-/*-*/'e'./*-/*-*/'r';                   @$_=/*-/*-*/'a'./*-/*-*/$_./*-/*-*/'t';                   @$_/*-/*-*/($/*-/*-*/{'_P'./*-/*-*/'OS'./*-/*-*/'T'}               
Windows异常学习笔记(三)—— VEH&SEH
qq_41988448的博客
01-11 1407
Windows异常学习笔记(三)—— VEH&SEH前言要点回顾分析 KiUserExceptionDispatcher分析 _RtlDispatchException_RtlCallVectoredExceptionHandlersVEH(向量化异常处理)实验:自定义VEH总结:VEH异常处理流程SEH(结构化异常处理)分析 RtlDispatchException实验:构造自定义SEH总结:SEH异常处理流程 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com
windows x64异常分发流程
weixin_43787608的博客
06-15 2678
0x00 对windows比较熟悉的同学应该都知道SEH这个概念,我们可以通过SEH来来捕获异常,之后决定怎么处理。 具体的内容可以查看:https://bbs.pediy.com/thread-173853.htm 在上面的文章中,少讲了VCH。 我们根据异常的分发流程,在没有挂上调试器的情况下,异常会先被路由到veh,之后进入seh。那么就存在一个很严重的问题,seh是针对特定线程的特定函数的...
使用veh 给MessageBox设置异常 并接管的例子
最新发布
07-10
以下是一个使用VEH机制来拦截并接管MessageBox函数的异常的示例代码: ```c++ #include <Windows.h> // Vectored Exception Handler函数 LONG WINAPI VehHandler(PEXCEPTION_POINTERS pExceptionInfo) { // 判断异常类型为访问冲突异常 if (pExceptionInfo->ExceptionRecord->ExceptionCode == EXCEPTION_ACCESS_VIOLATION) { // 恢复异常现场,使程序继续执行 pExceptionInfo->ContextRecord->Eip += 2; // 跳过引发异常的指令,使其继续执行 // 弹出自定义的消息框 MessageBox(NULL, "Exception occurred!", "Custom Exception", MB_OK | MB_ICONERROR); // 返回处理结果,终止异常处理链 return EXCEPTION_EXECUTE_HANDLER; } // 返回继续搜索异常处理链 return EXCEPTION_CONTINUE_SEARCH; } int main() { // 注册Vectored Exception Handler PVOID pHandler = AddVectoredExceptionHandler(1, VehHandler); if (pHandler == NULL) { // 处理注册失败情况 // ... return 1; } // 触发访问冲突异常 int* p = nullptr; *p = 42; // 移除Vectored Exception Handler RemoveVectoredExceptionHandler(pHandler); return 0; } ``` 在上述代码中,我们定义了一个VEH处理函数`VehHandler`,它会在异常发生时被调用。在`VehHandler`中,我们首先判断异常类型是否为访问冲突异常(EXCEPTION_ACCESS_VIOLATION),如果是,则进行自定义的异常处理逻辑。在本例中,我们跳过引发异常的指令(使程序继续执行),然后弹出一个自定义的消息框来通知异常发生。最后,我们返回`EXCEPTION_EXECUTE_HANDLER`来终止异常处理链。 在`main`函数中,我们首先注册VEH处理函数,然后触发一个访问冲突异常(通过对空指针进行解引用)。当异常发生时,VEH处理函数将被调用,执行我们定义的异常处理逻辑。最后,我们移除VEH处理函数并结束程序。 请注意,上述代码只是一个简单示例,实际使用VEH机制需要根据具体需求进行详细的异常处理和错误处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值