白利用

最新推荐文章于 2022-07-15 09:53:05 发布
最新推荐文章于 2022-07-15 09:53:05 发布
阅读量2.9k 收藏 4
点赞数
分类专栏: 安全编码 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/93666900
版权

白利用就是利用已经是白名单的文件来达到木马自身的目的,进入白名单的文件,又可分为木马作者利用社会工程学,欺骗杀软的分析人员,将木马混入白名单和,正常程序本身设计的缺陷导致存在被利用的可能。前者没办法,对于后者,却是可以进行改善的。

比如

1.

char __usercall GetQQPCMgrInstallDir@<al>(BYTE *a1@<esi>)
{
  char v1; // bl
  HKEY hKey; // [esp+4h] [ebp-10h]
  DWORD cbData; // [esp+8h] [ebp-Ch]
  DWORD Type; // [esp+Ch] [ebp-8h]
  unsigned int v6; // [esp+10h] [ebp-4h]

  v6 = (unsigned int)&hKey ^ dword_40D008;
  hKey = 0;
  v1 = 0;
  if ( !RegOpenKeyW(HKEY_LOCAL_MACHINE, L"SOFTWARE\\Tencent\\QQPCMgr", &hKey) )
  {
    Type = 0;
    cbData = 260;
    if ( !RegQueryValueExW(hKey, L"InstallDir", 0, &Type, a1, &cbData) )
      v1 = 1;
  }
  if ( !hKey )
    RegCloseKey(0);
  return v1;
}

int __stdcall wWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPWSTR lpCmdLine, int nShowCmd)
{
  wchar_t Dst; // [esp+8h] [ebp-210h]
  char v6; // [esp+Ah] [ebp-20Eh]
  unsigned int v7; // [esp+214h] [ebp-4h]

  v7 = (unsigned int)&Dst ^ dword_40D008;
  Dst = 0;
  memset(&v6, 0, 0x208u);
  if ( !GetQQPCMgrInstallDir((BYTE *)&Dst) )
    return -1;
  wcscat_s(&Dst, 0x104u, L"\\QQPCMgr.exe");
  ExecuteQQPCMgr();
  return 0;
}

这个程序会读取这个位置的键值,获取电脑管家的安装路径,然后不加校验的启动这个路径下的QQPCMGR.exe文件,就是打开SOFTWARE\\Tencent\\QQPCMgr这个key,查询“InstallDir”这个value,拼上\\QQPCMgr.exe,所以木马只要把这个QQPCUrlLoader.exe放到启动项里,然后把自己的要启动的程序改名为QQPCMGR.exe,同时将自己的路径写到注册表的这个位置,就可以达到开机启动自身的目的。而常规情况下杀软的启动项扫描只能扫到QQPCUrlLoader.exe的这个白文件,而扫不到被间接启动的木马文件,从而达到了绕过杀软扫描的目的。同时也告诉我们,在我们自己写程序的时候,加载或运行其他程序或模块的时候,是否是加载或运行所要的模块,还是可能被偷梁换柱的,最好应该加个校验,比如签名信息等。

2.

劫持了这个DLL,把这个DLL替换成木马自身的DLL,来启动自己。众所周知,当前很多杀软防御都是基于进程级别的,没有做到模块级别,这也是基于效率的考虑,但也同时给木马留下了大量的机会。

但现在启发式很的情况下,这个DLL如果做太多的事,则可能被启发式报出来,所以木马在这里又耍了个滑头,这个DLL本身并不做太多的事,他只是读取当前目录下的那个XXX.bmp文件,这个XXX.BMP文件实际是个BMP图像文件,外带一堆木马的SHELLCODE,这样通过DLL,读取该文件中的SHELLCODE来执行,来达到绕过启发式引擎的发现。因为没有人会去扫描一个BMP文件,也算是用心良苦了

所以不要用导入表加载模块。

3.

前面所说的导入表DLL劫持,其实还是可以被检测出来,杀软通过扫描可执行EXE 文件的导入表,就可以知道该程序会用到哪些DLL。下面要说的是更为隐蔽的方法,白程序内部通过LoadLibrary来加载DLL,而木马通过劫持这个DLL,来达到白利用的目的。举

该程序会通过Loadlibrary来加载EXE当前目录下的enlpu32.dll,并调用其导出的函数EnableLPU,木马既可以在该DLL的DLLMAIN里做坏事,也可以在导出的EnableLPU函数里做坏事。而这种白利用基本只有发现一个杀一个了。

4.

白驱动利用,驱动中被利用,可能导致的危害也更大,这里举个例子,也希望大家在写驱动的时候,除了完成功能外,也要考虑到是否有被恶意利用的可能。

5.隐魂病毒

 

 

 

 

kernweak
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
说说利用
Returns' Station
05-10 1177
利用什么的,最近大家都在杀嘛~~现在过hips或者scan越来越难了~   先说说没品木马们的常见手段(以下示例国内靠谱安全软件早已防范):   1.      一些未公开的启动位置——ms的启动注册表还是很多的~ 放出来样本一分析很快就会被杀了~ 能找到这种东西的孩纸还是看系统源码还是很细心的   例:RenamePendingFile这个启动点大家都知道,
一种“技术”利用绕过杀软执行payload
qq_35586293的博客
09-16 1437
曾经在学校接触过APT攻击,抱着对其心技术的兴趣。闲来无事,自己也尝试着利用利用”技术构造钓鱼文档执行payload,侥幸的是也成功绕过瑞星、火绒等杀毒软件。 在本文中,我将向大家介绍一种APT常用的攻击手法,通过构造恶意的宏文档执行payload。 本次构造的payload所使用的一款程序是certutil.exe。该程序是一个Windows系统的内置程序,用于管理Windows中的证书。...
+黑(利用)漏洞加载木马技术解析
笔记本
12-08 5231
刚上高中那个暑假?记不太清了,好像就是那个时候开始的加黑木马爆发,因为利用率几乎不可能解决的 逻辑缺陷,所以杀软的防御基本永远没法从根本上去拦截。百度也没什么这个漏洞的基础解析,下面通过编 程实现一个模拟这个漏洞的东西实现加黑技术初步解析。 1.利用漏洞基本原理: 利用了大公司代码的编写缺陷,比如某宝的某个exe程序,自带数字签名,他运行的时候会动态加载其目录下的dll文件 (l...
ESET中自带的利用
Sven的忘却日记
10-10 646
习惯每天早上开机后,清理一下垃圾文件,以及检查开机后的进程列表,清理完垃圾,我在CCleaner启动项管理功能下面,发现了一个ESET杀软的启动项 "C:\Program Files\ESET\ESET Security\ecmds.exe" /launch /hide /proxy 感觉挺有意思,就查看该文件所在目录,结果一眼瞄到了一个callmsi.exe 的文件,运行后,和系统的msiex...
移花接木大法:新型“利用”华晨远控木马分析
weixin_34352005的博客
03-08 335
360安全卫士 · 2015/05/28 5:110x00 前言“利用”是木马对抗主动防御类软件的一种常用手法。国内较早一批“利用”木马是通过系统文件rundll32.exe启动一个木马dll文件,之后又发展出劫持合法软件的dll组件来加载木马dll的攻击方式。随着安全软件对“利用”的防御机制日益完善,木马也在花样翻新。近期,360QVM引擎团队发现“华晨同步专家”远控木马家族采用了比较另类...
利用PHP+MYSQL+HTML做的期末小项目,实现后台与前端的连接,实现了增删改查功能,美化做的不好大家勿喷,还请多多指正
05-28
利用PHP+MYSQL+HTML做的期末小项目,做的不好大家勿喷,还请多多指正。 用的是以前模仿做的HTML淘宝网静态页面,接连上数据库加入图片和信息,实现后台与前端的连接,实现了增删改查功能美化做的不好还请大家勿...
CrossNet-Beta:红队行动中利用利用,免杀,自动判断网络环境生成钓鱼重置文件
04-02
交叉网 通过判断目标是否出网,可以通过...利用lolbins结合dll劫持执行shellcode√ Beta 1.0.2 修改静态内存申请后添加临时权限√ 添加睡眠万一能绕过沙箱√ 将判断dns是否出网替换自己指向127.0.0.1的域名√ Beta 1
噪声_噪声_
10-04
在MATLAB中,我们可以利用内置函数或自定义脚本来生成噪声。这种噪声通常被用于模拟真实世界中的信号干扰,尤其是在通信、音频处理、信号检测和滤波器设计等领域。 在MATLAB中生成噪声,可以使用`randn`函数,...
centOS7 下利用iptables配置IP地址名单的方法
09-15
下面小编就为大家带来一篇centOS7 下利用iptables配置IP地址名单的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
18利用噪声特性和ARMR模型,通过求解模型参数生成随机风速.zip
03-09
18利用噪声特性和ARMR模型,通过求解模型参数生成随机风速18利用噪声特性和ARMR模型,通过求解模型参数生成随机风速.zip18利用噪声特性和ARMR模型,通过求解模型参数生成随机风速.zip18利用噪声特性和ARMR...
无文件攻击与病毒样本分析-1-5-1-无文件攻击之本地程序交互:利用攻击
不忘初心,护天下安全!
07-15 399
利用
利用的集大成者:新型远控木马上演移形换影大法
weixin_33873846的博客
09-14 194
本文讲的是利用的集大成者:新型远控木马上演移形换影大法,经分析,木马利用快捷方式启动,真正的木马本体则藏在与快捷方式文件(证书.lnk)同目录下的“~1”文件夹中(文件夹隐藏)。 其实,将快捷方式作为木马启动跳板的做法本来并不新鲜,有趣的其实是快捷方式指向的程...
对亮神基于名单 Csc.exe 执行 payload 第七季复现
cxk
05-03 517
待补充
某APT组织利用AVAST杀软的利用针对越南司法部投放恶意文档
Sven的忘却日记
05-31 1567
在推特上刷到这条推文 推文中的博客链接提到这是针对越南司法部的APT攻击,并提供了样本文件Hash rtf样本文件sha1: 41f0757ca4367f22b0aece325208799135c96ebe1dcafcd752d3f3c8dd4a5ccf 该样本文件运行后会释放两个文件到用户temp目录: C:\Users\admin\AppData\Local\Temp\wsc.dll 4e8...
那些shellcode免杀总结
mingyqf的博客
03-24 7933
那些shellcode免杀总结 卿i(https://xz.aliyun.com/u/15540) / 2020-02-07 08:57:08 / 浏览数 20471 自己还是想把一些shellcode免杀的技巧通过话文、傻瓜式的文章把技巧讲清楚。希望更多和我一样web狗也能动手做到免杀的实现。 文中我将shellcode免杀技巧分为 "分离“、”混淆“两个大类,通过不同技巧针对不同检测方式,也就是常听到的特征检测、行
chm混淆+qq利用免杀360主动防御
Sven的忘却日记
05-31 5753
最近有一个网友发给我一个QQ图20190427141352.chm的文件,让我看看是不是木马。根据经验,这种CHM一般都是里面有个html文件,通过js调用com控件,然后间接执行释放出来的木马文件。 使用7z打开这个chm文件,可以看到里面果然有一些exe文件以及dll文件。 双击执行这个chm文件后,果然里面的PcOL.exe被执行了 经过分析这个exe可不简单,不但有腾讯有效数字签名,还...
【系统程序利用】werfault.exe
Sven的忘却日记
09-03 1897
#include "stdafx.h" #include &lt;windows.h&gt; int _tmain(int argc, _TCHAR* argv[]) { // Get root key handle. HKEY hRoot = nullptr; LPCTSTR lpSubKey = L"Software\\Microsoft\\Windows\\Wi...
利用均值滤波去除高斯噪声
最新发布
06-07
均值滤波是一种常用的图像滤波方法,可以有效地去除高斯噪声。它通过取像素周围邻域内像素值的平均值来平滑图像,从而减少噪声的影响。 以下是一个基于OpenCV库的Python实现示例: ```python import cv2 import numpy as np # 读入图像 img = cv2.imread('lena.jpg') # 添加高斯噪声 noise = np.random.normal(0, 20, img.shape) noisy_img = img + noise # 进行均值滤波 denoised_img = cv2.blur(noisy_img, (5, 5)) # 显示图像 cv2.imshow('Noisy Image', noisy_img.astype(np.uint8)) cv2.imshow('Denoised Image', denoised_img.astype(np.uint8)) cv2.waitKey(0) cv2.destroyAllWindows() ``` 在这个例子中,我们首先生成与原始图像相同大小的高斯噪声,将其添加到原始图像中,得到有噪声的图像。然后,我们使用`cv2.blur()`函数进行均值滤波处理,最终得到去噪后的图像。 需要注意的是,均值滤波虽然简单易用,但在去除噪声的同时也会对图像的细节信息进行平滑处理,可能会导致图像失真。因此,在实际应用中,需要根据具体情况选择合适的滤波方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值