unhook的操作,把他E9的4个字节,包括E9还原成原来的硬编码,原来的硬编码为: 4C 8B D1 B8 3A
这里更新自己的代码,动态获取NtWriteVirtualMemory的地址并unhook...再看VirtualAllocEx 似乎并没有被hook
先放到一边
再看ZwCreateThreadEx,这个底层的函数同样被hook了
同样的,我们unhook,改为原来的硬编码 4C 8B D1...\n");
}
看看效果
也已经恢复为原来的硬编码
直接运行试试,应该是可以了,但是运行发现还是被拦截了
很难受,但是我发现这里报的毒已经跟之前的不一样了,并且我的马并没有被删!...我一开始以为是动态扫描出我的马,但我发现Bitdefender的反应很快,我想到卡巴斯基,马可以上线大概5秒,毕竟扫描也需要时间,但为什么这里一瞬间就挂了,我猜想是Bitdefender监控到了explorer...我又重新使用http的beacon的payload测试一下,直接给我杀了
总结一下这几天绕过杀软的心得: 国产的杀软先不说了,卡巴斯基我在分析的时候发现他似乎并没有hook API,包括静态检测这些方面甚至我不用混淆都能过