大家来聊聊如何PASS 360 - 杀死比特
2016-1-11 20:30:0 Author: www.cnblogs.com(查看原文) 阅读量:11 收藏

真正做到PASS 360,启动项什么的。我觉得还是有可能的把?

虽然它就是一个流氓,但是我们要想办法比它更流氓。

只是有一个点:那就是行为监控,那既然行为监控(云分析抛开)。那就找一个可信任的程序来调用呗。

所以我萌生以下几种思路:

1:找大厂商的软件,来进行DLL劫持。

2:直接以shellcode的方式来loader,不经过磁盘,直接内存加载。

3:找360的信任的证书,去签名。(比如BAIDU,腾讯之类的。)或者大厂商的证书,比如ORACLE,MYSQL之类的证书等。反正就是用户广。

目前能想到的就是这几个,和大家来讨论一下。如果有说错了,还请别见怪,见识浅我。

最后附上之前研究PASS 360的图。完全受信任。

posted @ 2016-01-11 20:30  杀死比特  阅读(621)  评论(2编辑  收藏  举报

Copyright © 2022 杀死比特
Powered by .NET 7.0 on Kubernetes


文章来源: https://www.cnblogs.com/killbit/p/5122448.html
如有侵权请联系:admin#unsafe.sh