对程序调用API变形的一点认识

最新推荐文章于 2024-06-14 21:03:10 发布
最新推荐文章于 2024-06-14 21:03:10 发布
阅读量759 收藏
点赞数
分类专栏: 我的文章 文章标签: api 杀毒软件 user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xbin8/article/details/2158800
版权

我就从简单分析下怎样躲过杀毒软件的查杀说起吧

这是我以前的文章,据说这种技术可以过主动防御

. 386
.Model Flat, StdCall
Option Casemap :None

Include windows.inc
Include user32.inc
Include kernel32.inc
IncludeLib user32.lib
IncludeLib kernel32.lib

.DATA
szDllKernel db  ' user32.dll ' , 0
szMessageBox db  ' MessageBoxA ' , 0

.DATA ?
lpMessageBox dd  ?
.CODE
START:
invoke GetModuleHandle,addr szDllKernel
mov ebx,eax
invoke GetProcAddress,ebx,offset szMessageBox
mov lpMessageBox,eax
push MB_OK
push  0
push  0
push  0
mov EAX,offset _END
push EAX
jmp lpMessageBox
_END:
invoke ExitProcess, 0

END START

 上面的代码可用于反杀毒软件的病毒里,杀毒软件一般都用特征码判断是否调用了危险API,而上面的代码就是把CALL分解开来,实现了简单的代码变形
如果杀毒软件是靠判断JMP的目标是否为危险API的话,也可以写成这样躲过杀毒软件

 

.CODE
START:
invoke GetModuleHandle,addr szDllKernel
mov ebx,eax
invoke GetProcAddress,ebx,offset szMessageBox
mov lpMessageBox,eax
push MB_OK
push  0
push  0
push  0
mov EAX,offset _END
push EAX
;添加的代码开始
mov edi,edi
push ebp
mov ebp,esp
add lpMessageBox, 5
;添加的代码结束
jmp lpMessageBox
_END:
invoke ExitProcess, 0  
END START

 

杀毒软件一般是靠特征码判断病毒的,比如杀毒软件监视MessageBox这个函数的调用,只要调用这个函数杀毒软件就认为你有破坏系统的动机,所以我们就得想办法躲过杀毒软件的监视,但又不能不用这个函数那怎么办呢?
www.xbin.cn
了解调用过程的人都知道CALL指令就是先把下一条指令地址压栈然后在用JMP跳转到函数入口处,那我们的解决办法就出来了,我们可以自己完成这个调用动作,先把下一条指令压栈

 

mov EAX,offset _END
push EAX

 

在跳转到函数入口处

 

jmp lpMessageBox 

 

这样就骗过杀毒软件了,因为在二进制代码级别上,上面的代码和CALL指令的二进制是不同的,但实现的功能是相同的。

有的杀毒软件不光靠判断特征码,而且还判断跳转的目标地址,就是判断你的指令是否跳转到他认为危险的API入口处,当然我们也有办法骗过他,那就是把目标API的前几行代码在自己程序里实现,然后在跳转到API函数中去继续运行。比如我是把MessageBox的前3行代码在自己的程序里实现,然后在条到MessageBox的第4行里继续运行。
www.xbin.cn
这样跳转到目标入口地址就不是API函数的入口了

如果杀毒软件是靠判断是否跳转到一个指定的区域的话,那还有一个更毒的招,那就是分配一个动态内存,把API函数代码考到自己的2G空间里运行

xbin8
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++游戏分析与破解方法介绍
douluo998的博客
03-31 3558
目前手机游戏直接用C++开发的已经不多,使用C++开发的多是早期的基于cocos2dx的游戏,因此我们这里就以cocos2d-x为例讲解C++游戏的分析与破解方法。Cocos2d-x是一个移动端游戏开发框架,可以使用C++或者lua进行开发,也可以混合使用。在使用C++开发时,游戏主逻辑模块默认名字是“libgame.so”,跟其他的native模块一样,放在游戏的“lib”目录下。
System.load 和 System.loadLibrary详解
热门推荐
悦峰原创博客
11-06 7万+
System.load 和 System.loadLibrary详解1.它们都可以用来装载库文件,不论是JNI库文件还是非JNI库文件。在任何本地方法被调用之前必须先用这个两个方法之一把相应的JNI库文件装载。2.System.load 参数为库文件的绝对路径,可以是任意路径。例如你可以这样载入一个windows平台下JNI库文件:System.load("C://Docu
C++下 VMP加壳宏
IT男也疯狂
12-09 6675
#define VMP_BEGINV \ _asm _emit 0xEB \ _asm _emit 0x10 \ _asm _emit 0x56 \ _asm _emit 0x4D \ _asm _emit 0x50 \ _asm _emit 0x72 \ _asm _emit 0x6F \ _asm _emit 0x74 \ _asm _emit 0x65 \ _asm _emit 0x63 \
针对vmp和ollvm的解决方法
qq_37439229的博客
11-25 1024
自我总结 1.angr 2.gdb脚本测试 3.pin插桩 (目前的学习经历知道这几种方法,如果有别的,欢迎师傅们补充,其中pin还没用过,angr就只会写模板,gdb还写不来。一般都动调。。。有待学习,补充) ...
逐步改善,设计优秀API
重剑无锋,大巧不工。。。
03-03 1042
逐步改善,设计优秀API
511遇见易语言DLL制作调用及hook注入
511遇见
05-16 2万+
目录 1-VB6.0调用易语言编写的dll 2-C#调用易语言编写的dll 3-C++和python调用易语言编写的dll 4-VB.net调用易语言易语言编写的Dll 5-易语言调用VB6.0编写的ActiveX Dll 6-易语言调用VB.net编写的Dll 7-易语言调用C++编写的Dll 8-易语言调用C编写的Dll 9-易语言调用C#编写的Dll 10-易语言DLL模块和API的区别 11-易语言DLL命令调用转向 12-易语言动态调用dll及子程序-1 13-易语言动态
逐步改善,设计优秀的API
coderabbit的专栏
04-04 722
文/ Jaroslav Tulach   判断一个API是否优秀,并不是简单地根据第一个版本给出判断的,而是要看多年后,该API是否还能存在,是否仍旧保持得不错。   第一个版本远非完美   第一个版本总是来得特别容易,不仅容易开发,而且容易发布。API的需求会随着时间而变,那些过去有效的API可能现在已经不再适用了。而且每个程序中都会存在Bug,需要不断地来修复,这样做带来的副作用人所共知
《JAVA语言程序设计》上课笔记
徐守威
07-11 5347
教学目标: 1.使学生了解JAVA课程的性质、定位、作用;为什么要学习JAVA?让学生知道如何学好JAVA; 教学内容: 一、       问几个问题 1、            你们到这里来干什么的? 来学习JAVA程序设计       为什么要来学习JAVA呢?               找个好工作,拿到高薪水 2、            怎么样才能达到你们的目标呢? 有的
熟练认识pyhon数据分析的工具
最新发布
w297948的博客
06-14 733
随着云计算、大数据和人工智能技术的快速发展,python及其开发生态环境正在受到越来越多的关注。python已经成为整个计算机世界最重要的语言之一,也是数据分析的常用语言。为了更高效地利用Python进行数据分析,我们要熟练认识python数据分析的工具。Python通过其强大的第三方库,为数据分析提供了全面的支持。无论是数据处理、统计分析还是结果的可视化展示,Python都能提供有效的工具和解决方案。掌握这些工具不仅能提升数据处理的效率,也能在数据分析的过程中发现更多有价值的信息。
微信小程序api接口调用用封装
01-03
微信小程序api接口调用用封装 1. 在 02-项目 下新建request目录及index.js文件 1.1 02-项目\request\index.js  1.2.index.js // 同时发送异步代码的次数 let ajaxTimes=0; export const request=(params)=>{ //...
程序-地图调用API.zip
12-14
在小程序调用地图API可以让用户方便地查看地理位置、导航以及获取位置信息。本篇将深入探讨如何在小程序中使用百度、腾讯和高德三家主流地图服务商的API来实现地图功能。 首先,我们要了解的是微信小程序对地图的...
程序云函数调用API接口的方法
10-16
本文将详细介绍如何使用小程序云函数调用API接口的方法,以实现对内容的安全检测为示例,具体知识点包括云函数的创建、代码编写、部署、调用以及小程序页面与云函数间的交互。 首先,创建一个云函数是调用API接口的...
程序-调用API获取行政区划.zip
12-15
本资源"小程序-调用API获取行政区划.zip"聚焦于小程序API调用技术,特别是与地理位置相关的功能。我们将深入探讨如何利用百度API、腾讯API和高德API来获取经纬度、识别城市信息以及实现地图跳转功能。 首先,获取...
如何在WPF应用程序中通过HttpClient调用Web API
03-02
在WPF(Windows Presentation Foundation)应用程序中,与Web API进行交互是常见的需求,尤其是在需要从服务器获取数据或发送用户操作到后端时。本教程将深入探讨如何利用HttpClient类在WPF应用中异步调用Web API,...
对代码变形一点认识
晓斌的博客
03-09 1412
.386.model flat, stdcalloption casemap :noneinclude kernel32.incincludelib kernel32.lib    .CODESTART:    call _NO1            ;跳过干扰码    db 0e9h               ;干扰码    jmp _END           ;跳出变形的代码_NO1
用OD跟踪金山游侠的部分代码并用汇编还原其功能
晓斌的博客
03-08 1168
这是偶无聊的时候跟踪金山游侠的部分代码,并用汇编根据其程序流程写出了完整的代码,就当练练手吧!0041EC32  /.  55            push    ebp                                        ;后面要用EBP读堆栈找外部参数所以就要先保存EBP0041EC33  |.  8BEC          mov     ebp, esp  
自己写的一个HOOKAPI的汇编例子
晓斌的博客
03-08 1058
;************************************************;程序作者:晓斌;QQ:6750333        http://www.xbin.cn;************************************************.586.model flat, stdcalloption casemap :noneinclude  wi
判断是否为PE文件改进版
晓斌的博客
03-08 827
原来的程序一遇到0字节的文件就会挂掉,在这里我添加了SEH错误处理代码,完美解决了挂掉的问题! .386.model flat, stdcalloption casemap :none include    windows.incinclude    user32.incincludelib  user32.libinclude    kernel32.incincludelib  k
驱动程序调用应用层api
09-21
驱动程序调用应用层API是指系统的驱动程序通过调用应用层API来完成特定功能。驱动程序是一种软件,用于控制硬件设备的操作和管理。而应用层API(Application Programming Interface,应用程序接口)则是一组预先定义好的函数和方法,用于提供给开发者使用的接口。 驱动程序通过调用应用层API来实现与应用程序的交互。通过调用API中的函数或方法,驱动程序可以向上层应用程序提供各种操作硬件设备的功能。比如,一个打印机驱动程序可以通过调用应用层API中的打印函数,将应用程序中的打印任务发送给打印机设备进行打印。驱动程序可以通过调用API中的函数来控制设备的开关、设置设备参数、读取传感器数据等操作。 驱动程序调用应用层API的好处是实现了驱动程序与应用程序的分离。应用层API封装了底层硬件设备的具体操作细节,使得驱动程序能够以一种统一的接口与应用程序进行交互。这样,应用程序开发者无需了解底层硬件设备的具体细节,只需调用API提供的函数即可完成相应的操作。同时,驱动程序的开发者也无需考虑具体的应用场景和应用程序的实现,只需提供对应的API接口即可。 总之,驱动程序通过调用应用层API实现了与应用程序的交互,提供了与硬件设备进行通信和控制的能力。这种方式能够简化应用程序和驱动程序的开发,提高了系统的可维护性和可扩展性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值