随笔分类 - C/C++
摘要:免杀大家应该都不陌生,今天初探一下 免杀思路 通过cs生成shellcode,不过现在各大厂商对于出名的shellcode:如cs,msf这些基本上达到了见光就死的程度,我这里简单的加密一下,然后通过API加载到一个进程中,并且执行,我首先希望的是有一个静态免杀效果。 环境准备 vs2019 win
阅读全文
摘要:前言 很多杀软都有自己的后端云沙箱,这些沙箱能够模拟出软件执行所需的运行环境,通过进程hook技术来对软件执行过程中的行为进行分析,判断其是否有敏感的操作行为,或者更高级的检测手法是,将获取到的程序的API调用序列以及其他的一些行为特征输入到智能分析引擎中(基于机器学习org)进行检测。所以,如果我
阅读全文
摘要:#include <stdio.h> #include <stdlib.h> #include "string.h" #include <windows.h> #define SUCCESS 1 // 执行成功 #define ERROC -1 // 执行失败 #define INDEX_IS_ER
阅读全文
摘要:#pragma once template <class T_ELE> class Vector { public: Vector(); Vector(DWORD dwSize); ~Vector(); public: DWORD at(DWORD dwIndex, OUT T_ELE* pEle)
阅读全文
摘要:#include <stdio.h> #include <stdlib.h> #include "string.h" #include <windows.h> #define SUCCESS 1 // 执行成功 #define ERROC -1 // 执行失败 #define INDEX_IS_ER
阅读全文
摘要:1 #include <stdio.h> 2 #include <stdlib.h> 3 #include "string.h" 4 #include <windows.h> 5 6 #define SUCCESS 1 // 执行成功 7 #define ERROC -1 // 执行失败 8 #de
阅读全文
摘要:远线程注入dll的局限 注入前 注入后 这个dll赫然在列,当然我们也可以理解,通过GetProcAddress得到了LoadLibrary函数的地址,用这个地址去加载了我们自己的dll,导入表中当然有这个dll的名称。 当我们使用内存写入这种方式后,无法再通过普通的进程查看模块方式找到我们的模块,
阅读全文
摘要:前言 IATHOOK局限性较大,当我们想HOOK一个普通函数,并不是API,或者IAT表里并没有这个API函数(有可能他自己LoadLibrary,自己加载的),那我们根本就从导入表中找不到这个函数,自然也就在IAT表中无法找到,InlineHook算是对IATHOOK一个升级版吧 大体思路 用JM
阅读全文
摘要:位移运算 1、与运算 & 2、或运算 | 3、非运算 ~ 4、异或运算 ^ 5、移位运算 << >> 内存分配,文件读写 宏定义说明 一、无参数的宏定义的一般形式为:# define 标识符 字符序列 如:# define TRUE 1 # define PI 3.1415926 注意事项: 1、只
阅读全文
摘要:面向对象语言三大特征: 封装,多态,继承 封装: 1、将函数定义到结构体内部,就是封装. 2、编译器会自动传递结构体的指针给函数. 类: 带有函数的结构体,称为类. 成员函数: 结构体里面的函数,称为成员函数. this指针: c++中默认传递一个对象首地址,这个地址就是this指针 thie指针特
阅读全文
摘要:原理 核心函数 CreateRemoteThread:让在其他进程中创建一个线程变成可能 核心思想 HANDLE WINAPI CreateRemoteThread( __in HANDLE hProcess, __in LPSECURITY_ATTRIBUTES lpThreadAttribute
阅读全文
摘要:HOOK 1.监控 2.行为改变 改变执行流,让函数先到我这里,获得优先执行权 思路 导入表中有个IAT表,在导入表结构中的FirstThunk.在调用一些API时,只要是LoadLibrary的dll,其中的API都会在IAT表中,我们可以通过IAT表来寻找我们想要"了解"的函数,并对其进行操作,
阅读全文
浙公网安备 33010602011771号