正文

请到「今天看啥」查看全文

1. HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩

2. 内存免杀shellcode检测(metasploit、Cobaltstrike完全检测)

3. 可疑进程检测(主要针对有逃避性质的进程[如过期签名与多可执行段])

4. 文件名指向木马检测(检测所有指定内存木马)

5. 简易rootkit检测(检测证书过期/拦截读取/证书无效的驱动)

6. 检测异常模块，检测绝大部分如“iis劫持”的后续模块

免杀木马检测原理

所有所谓的内存免杀之后大部分基于“VirtualAlloc”函数申请内存之后通过各种莫名其妙的xor命令aes加密去图标shellcode达到“免杀”效果。本工具通过线程堆栈回溯方法(StackWalkEx函数)遍历线程,寻找位于VirtualAlloc区域的代码,这样即使它很常见也会被误认为是程序申请VirtualAlloc分配内存。但大部分普通程序均不会在VirtualAlloc区域内执行代码。一般都是在.text区段内执行代码。

无文件落地木马检测原理

请到「今天看啥」查看全文