很火的bypass技术!

显示全部楼层 · 发表于 2024-11-12 11:54:02

本帖最后由 DisaPDB 于 2024-11-12 11:57 编辑

猎命师发表于 2024-11-12 11:14
这个技术本来就简单，就是黑插白，关键在于它可以自动化，无限做全绿

白切黑我已经在某个q群发过自动化patch的脚本了，这个只需要考虑RVA就可以做自动化
一个简单的正则匹配。

显示全部楼层 · 发表于 2024-11-12 11:59:13

Raven95676 发表于 2024-11-11 18:22
Elastic

记事本弹出，判定 Miss

拦截到syscall就行了，这个动态不免杀

显示全部楼层 · 发表于 2024-11-12 12:21:10

F-secure 双击DG杀

显示全部楼层 · 发表于 2024-11-12 14:05:41

Loyisa 发表于 2024-11-12 11:04
再发个全绿的样本呗

脚本pm你了，自己动手丰衣足食

显示全部楼层 · 发表于 2024-11-12 14:37:08

Loyisa 发表于 2024-11-11 17:57
双击HMPA kill
双击了十次都拦截上了

您好，这个HMPA通知能关闭吗？老通知也影响正常使用呀

显示全部楼层 · 发表于 2024-11-12 15:10:40

小小龙发表于 2024-11-12 14:37
您好，这个HMPA通知能关闭吗？老通知也影响正常使用呀

好像不行

显示全部楼层 · 发表于 2024-11-12 15:44:11

scottxzt 发表于 2024-11-11 23:51
这玩意访问记事本，之后访问WIN的问题报告，闪退了进程，没有捕捉到联网行为

难得一见eset的hips拦截

显示全部楼层 · 发表于 2024-11-12 22:21:30

MrDeep 发表于 2024-11-11 19:33
目前用上了开心版，是不是除了杀毒功能之外，其余的都是能用的？

给个地址我也想用用

显示全部楼层 · 发表于 2024-11-13 09:24:21

xiaoxin146 发表于 2024-11-12 22:21
给个地址我也想用用

https://bbs.kafan.cn/thread-2266359-1-1.html

显示全部楼层 · 发表于 2024-11-14 22:33:24

本帖最后由 scottxzt 于 2024-11-17 14:38 编辑

裂空我爱杰发表于 2024-11-12 15:44
难得一见eset的hips拦截

现在都不流行靠人脑来判断了，所以很少见，ESET在大多数眼里就是一扫描器，真可笑，不得不承认百分之90的人合适用智能HIPS，但是ESET的手动HIPS既然存在这么长的时间没有废掉，那肯定有它的可用之处。

[可疑文件] 很火的bypass技术!