360 对各种恶意载荷加载器拦截能力

显示全部楼层 · 发表于 2024-10-28 16:12:57

最近闲的没事写了好几种不同类型的shellcode加载器(虽然都是自己想法然后丢GPT

)

写了两个(NT Call / NT + Fiber + APC) 发现360初见都无法查杀，注入CS载荷后也没有反应
最新的加载器也开源了: https://github.com/Fadouse/Fiber-APC-NTCall-shellcodeloader
360也是一点反应没有（13，14beta）

显示全部楼层 · 发表于 2024-10-28 16:36:44

本帖最后由 00006666 于 2024-10-28 16:39 编辑

看清楚核晶开了没，核晶没成功开启肯定100％拦不住注入，至于非注入/内存加载，确实现在也拦不住，有核晶也没用

显示全部楼层 · 发表于 2024-10-28 16:40:11

00006666 发表于 2024-10-28 16:36
看清楚核晶开了没，核晶没成功开启肯定100％拦不住注入，至于非注入/内存加载，确实现在也拦不住，有核晶也 ...

我这里显示成功开启，有可能是360显示bug吧

显示全部楼层 · 发表于 2024-10-28 16:41:59

Fadouse 发表于 2024-10-28 16:40
我这里显示成功开启，有可能是360显示bug吧

没内存扫描就是这样的，不拦加载，内存加载肯定拦不住

显示全部楼层 · 发表于 2024-10-28 16:44:26

加载没啥意思，除非你做的一次性买卖，试试持久化

显示全部楼层 · 发表于 2024-11-6 17:03:38

我想知道cs开始动作的时候会不会被抓出来

显示全部楼层 · 发表于 2024-11-6 17:06:46

chx818 发表于 2024-11-6 17:03
我想知道cs开始动作的时候会不会被抓出来

不会，看github的截图，其中一张是cs开启vnc后的的截图

显示全部楼层 · 发表于 2024-11-7 00:51:33

问问官方看

@wowocock

显示全部楼层 · 发表于 2024-11-7 09:45:20

momli 发表于 2024-11-7 00:51
问问官方看 @wowocock

目前基于特征的处理。应该是针对比较流行的那些。自己写的估计没针对处理吧。虽然也在改进内存扫描引擎，不过还在测试中。

显示全部楼层 · 发表于 2024-11-7 13:58:59

大佬请问 360这边没有反应卡巴直接能抓吧？而且好像也有MEM 虽然我这边间的不多看见了就提醒高级清除

[讨论] 360 对各种恶意载荷加载器拦截能力

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分