查看: 2387|回复: 12
收起左侧

[讨论] 360 对各种恶意载荷加载器拦截能力

[复制链接]
Fadouse
发表于 2024-10-28 16:12:57 | 显示全部楼层 |阅读模式
最近闲的没事写了好几种不同类型的shellcode加载器(虽然都是自己想法然后丢GPT)

写了两个(NT Call / NT + Fiber + APC)  发现360初见都无法查杀,注入CS载荷后也没有反应
最新的加载器也开源了: https://github.com/Fadouse/Fiber-APC-NTCall-shellcodeloader
360也是一点反应没有(13,14beta)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +20 收起 理由
白露为霜 + 20 感谢提供分享

查看全部评分

00006666
发表于 2024-10-28 16:36:44 | 显示全部楼层
本帖最后由 00006666 于 2024-10-28 16:39 编辑

看清楚核晶开了没,核晶没成功开启肯定100%拦不住注入,至于非注入/内存加载,确实现在也拦不住,有核晶也没用
Fadouse
 楼主| 发表于 2024-10-28 16:40:11 | 显示全部楼层
00006666 发表于 2024-10-28 16:36
看清楚核晶开了没,核晶没成功开启肯定100%拦不住注入,至于非注入/内存加载,确实现在也拦不住,有核晶也 ...

我这里显示成功开启,有可能是360显示bug吧

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
00006666
发表于 2024-10-28 16:41:59 | 显示全部楼层
Fadouse 发表于 2024-10-28 16:40
我这里显示成功开启,有可能是360显示bug吧

没内存扫描就是这样的,不拦加载,内存加载肯定拦不住

评分

参与人数 1人气 +3 收起 理由
Fadouse + 3 感谢解答: )

查看全部评分

00006666
发表于 2024-10-28 16:44:26 | 显示全部楼层
加载没啥意思,除非你做的一次性买卖,试试持久化
chx818
发表于 2024-11-6 17:03:38 | 显示全部楼层
我想知道cs开始动作的时候会不会被抓出来
Fadouse
 楼主| 发表于 2024-11-6 17:06:46 | 显示全部楼层
chx818 发表于 2024-11-6 17:03
我想知道cs开始动作的时候会不会被抓出来

不会,看github的截图,其中一张是cs开启vnc后的的截图
momli
发表于 2024-11-7 00:51:33 | 显示全部楼层
问问官方看 @wowocock
wowocock
发表于 2024-11-7 09:45:20 | 显示全部楼层
momli 发表于 2024-11-7 00:51
问问官方看 @wowocock

目前基于特征的处理。应该是针对比较流行的那些。自己写的估计没针对处理吧。虽然也在改进内存扫描引擎,不过还在测试中。
tony099
发表于 2024-11-7 13:58:59 | 显示全部楼层
大佬请问  360这边没有反应 卡巴直接能抓吧?而且好像也有MEM 虽然我这边间的不多看见了就提醒高级清除
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 09:51 , Processed in 0.131724 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表