注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 408|回复: 0

[免杀技术文章 ] 免杀技术之导入表加密

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
45816
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   600 小时
   最后登录
   2020-6-6
发表于 2020-5-23 07:23:10 来自手机 | 显示全部楼层 |阅读模式
    导入表加密是指将PE文件的导入表部分替换掉或者干脆清除掉,并以另一种方式、另一种逻辑完成原导入表的功能。对PE文件进行导入表加密后会导致次PE文件的所有系统API调用及第三方API调用的信息丢失,使得其他人在未重建导入表的前提下,很难再对程序展开逆向分析与调试。 能阻止人的调试,那么阻止反病毒软件的分析肯定就更不在话下了,因此在黑客们制造免杀壳时也同样要考虑导入表加密的问题,只不过免杀壳中的导入表加密的目的并不是单纯地保护导入表本身,亦或是借此增加壳与原程序的耦合性,而是从减少目标程序的文件特征与行为特征处入手。 例如,黑客们可以通过打乱宿主程序代码对IAT处的指向,使其直接指向壳的Stub部分,并由Stub部分接管这些API调用请求,从而使得一些反病毒软件的启发式扫描引擎不能直接判断宿主程序的API调用信息。除此之外,黑客们还可以进一步对Stub部分接管过来的API请求多做一些必要的Hook过滤处理,从而使得目标程序的行为变得更加正常。 这种Hook操作有一个专有的名词叫做IAT Hook,其工作原理十分简单。因为运行后程序的IAT中保存有当前系统各个API函数的地址,因此当程序需要调用某个API时,就会在IAT的某处取出这个函数的地址并调用。而IAT Hook的原理就是将IAT中放置的API地址替换为黑客指定的地址,因此当程序调用并执行这些地址上的函数时,其实是先执行了黑客自己的Hook函数,在经过黑客Hook函数的过滤与修改后,这个调用请求最终才会被放行,进而真正地去调用系统API。举例来说,如果有一个被加壳的宿主程序执行了将某个文件写入系统目录中的操作,而当这个操作被拦截后,黑客们就可以将其替换为更加“安全”的、不会被反病毒软件所察觉的方式执行这次敏感区域的文件写入操作。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表