[原创] 分享一个过TP的方法，实现载入DLL不被检查;-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
yanmew 雪币： 54 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	yanmew 2 楼这样是完全过不了TP的，原因有如下几个 1：不管经过几个合法dll中转最后加载自己的dll时还是会经过LoadImage回调(内存注入也逃不掉CreateThread回调)，此时dll特征已经上传至扫描服务器。 2：注入后PEB中存在没有数字签名的未知dll，5分钟内上传并检测。 3：即使自己购买有效签名给dll打上也只是当次不会出三方模块，此dll只要不在tp白名单内依然会被上传，数日后就三方。 4：即使改掉PEB也不排除TP会检测Vadroot，比对后依然会上传经过【伪装】后的自己dll。 5：待楼下补充 2018-11-19 00:56 1
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 28 关注私信	malokch 2 3 楼扫描到COW怎么办？检测到第三方Excutable Page怎么办？最好用的办法还是改页表分配内存，通过写物理内存的方式写入shellcode，然后写物理内存做虚表hook获得执行权限。也可以造一条ROP链，自己触发获得执行权限。内核态也可以这样处理。虽然不是毫无痕迹，但是也是相当隐蔽了。然后dll的问题嘛，干嘛非要dll呢，shellcode多安全。说方便的话，其实掌握方法后shellcode写起来也是非常方便的。 2018-11-19 01:47 1
ffashi 雪币： 772 活跃值： (1002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 4 楼 yanmew 这样是完全过不了TP的，原因有如下几个 1：不管经过几个合法dll中转最后加载自己的dll时还是会经过LoadImage回调(内存注入也逃不掉CreateThread回调)，此时dll特征已经上传至 ... 2年前，手痒测试了一次，没被检测，主要是空白dll ，没功能，但是有hook这个动作，居然不报错。 2018-11-19 04:48 1
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 5 楼大手子果然真实你这样只能过TCJ的第一次对比MD5的检测，后面还有好几个回调（R3+R0）和扫描等着你呢 2018-11-19 08:11 2
Tennn 雪币： 1176 活跃值： (1304) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 6 楼其实不是你过了而是你啥都没写人家都不理你 2018-11-19 09:36 0
aimhack 雪币： 625 活跃值： (596) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 81 粉丝 18 关注私信	aimhack 7 楼 2年前用的方法,,,明确告诉你,,,过不了.... 2018-11-19 12:17 0
冰雄雪币： 1486 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 55 关注私信	冰雄 8 楼最好的办法是xxoo 它的检测线程 2018-11-19 12:20 0
zquchs 雪币： 882 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	zquchs 9 楼 TP的暴力扫描不是吃素的，就算内存注入也能揪出来 2018-11-19 12:21 0
恋上下班雪币： 116 能力值： (RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	恋上下班 10 楼驱动层eprocess的VAD树能轻松的查出三方dll,我有源码实现,我不推荐楼主用注入dll的方式来入侵客户端，直接修改TP游戏的物理内存，实现内存挂岂不是更好 2018-11-19 12:33 0
dsjflw 雪币： 125 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 56 粉丝 2 关注私信	dsjflw 11 楼都扯到R0层上了，如果用R0层TP检测算个蛇，直接把dll映射到对方进程在从定位一下。问题是R3层很多事都干不了，注入dll是不可能不被检查到 2018-11-20 06:27 1
严启真雪币： 12382 活跃值： (2000) 能力值： ( LV2，RANK：15 ) 在线值：发帖 4 回帖 220 粉丝 2 关注私信	严启真 12 楼不错不错啊，感谢分享… 2018-11-20 07:13 0
ffashi 雪币： 772 活跃值： (1002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 13 楼有点感叹，一次偶尔的经历，分享一下，大家这么给面子关注，感谢了。现在是否能用不重要，重要的是这个方法，共享个人思路； 2018-11-28 20:25 0
Lmxczq 雪币： 26 活跃值： (256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	Lmxczq 14 楼腾讯:好的,我知道了 2018-11-29 08:59 0
ffashi 雪币： 772 活跃值： (1002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 15 楼我想起来了，我喜欢有这么一个动作，就是检测DLL是否活着，我会忘桌面写一个文本，内容就是string类型启动时间。而且整场打下来也没报错的。每隔多少秒写一次记录；最后于 2018-12-1 01:04 被ffashi编辑，原因： 2018-12-1 01:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
yanmew 雪币： 54 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	yanmew 2 楼这样是完全过不了TP的，原因有如下几个 1：不管经过几个合法dll中转最后加载自己的dll时还是会经过LoadImage回调(内存注入也逃不掉CreateThread回调)，此时dll特征已经上传至扫描服务器。 2：注入后PEB中存在没有数字签名的未知dll，5分钟内上传并检测。 3：即使自己购买有效签名给dll打上也只是当次不会出三方模块，此dll只要不在tp白名单内依然会被上传，数日后就三方。 4：即使改掉PEB也不排除TP会检测Vadroot，比对后依然会上传经过【伪装】后的自己dll。 5：待楼下补充 2018-11-19 00:56 1
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 28 关注私信	malokch 2 3 楼扫描到COW怎么办？检测到第三方Excutable Page怎么办？最好用的办法还是改页表分配内存，通过写物理内存的方式写入shellcode，然后写物理内存做虚表hook获得执行权限。也可以造一条ROP链，自己触发获得执行权限。内核态也可以这样处理。虽然不是毫无痕迹，但是也是相当隐蔽了。然后dll的问题嘛，干嘛非要dll呢，shellcode多安全。说方便的话，其实掌握方法后shellcode写起来也是非常方便的。 2018-11-19 01:47 1
ffashi 雪币： 772 活跃值： (1002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 4 楼 yanmew 这样是完全过不了TP的，原因有如下几个 1：不管经过几个合法dll中转最后加载自己的dll时还是会经过LoadImage回调(内存注入也逃不掉CreateThread回调)，此时dll特征已经上传至 ... 2年前，手痒测试了一次，没被检测，主要是空白dll ，没功能，但是有hook这个动作，居然不报错。 2018-11-19 04:48 1
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 5 楼大手子果然真实你这样只能过TCJ的第一次对比MD5的检测，后面还有好几个回调（R3+R0）和扫描等着你呢 2018-11-19 08:11 2
Tennn 雪币： 1176 活跃值： (1304) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 6 楼其实不是你过了而是你啥都没写人家都不理你 2018-11-19 09:36 0
aimhack 雪币： 625 活跃值： (596) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 81 粉丝 18 关注私信	aimhack 7 楼 2年前用的方法,,,明确告诉你,,,过不了.... 2018-11-19 12:17 0
冰雄雪币： 1486 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 55 关注私信	冰雄 8 楼最好的办法是xxoo 它的检测线程 2018-11-19 12:20 0
zquchs 雪币： 882 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	zquchs 9 楼 TP的暴力扫描不是吃素的，就算内存注入也能揪出来 2018-11-19 12:21 0
恋上下班雪币： 116 能力值： (RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	恋上下班 10 楼驱动层eprocess的VAD树能轻松的查出三方dll,我有源码实现,我不推荐楼主用注入dll的方式来入侵客户端，直接修改TP游戏的物理内存，实现内存挂岂不是更好 2018-11-19 12:33 0
dsjflw 雪币： 125 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 56 粉丝 2 关注私信	dsjflw 11 楼都扯到R0层上了，如果用R0层TP检测算个蛇，直接把dll映射到对方进程在从定位一下。问题是R3层很多事都干不了，注入dll是不可能不被检查到 2018-11-20 06:27 1
严启真雪币： 12382 活跃值： (2000) 能力值： ( LV2，RANK：15 ) 在线值：发帖 4 回帖 220 粉丝 2 关注私信	严启真 12 楼不错不错啊，感谢分享… 2018-11-20 07:13 0
ffashi 雪币： 772 活跃值： (1002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 13 楼有点感叹，一次偶尔的经历，分享一下，大家这么给面子关注，感谢了。现在是否能用不重要，重要的是这个方法，共享个人思路； 2018-11-28 20:25 0
Lmxczq 雪币： 26 活跃值： (256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	Lmxczq 14 楼腾讯:好的,我知道了 2018-11-29 08:59 0
ffashi 雪币： 772 活跃值： (1002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 15 楼我想起来了，我喜欢有这么一个动作，就是检测DLL是否活着，我会忘桌面写一个文本，内容就是string类型启动时间。而且整场打下来也没报错的。每隔多少秒写一次记录；最后于 2018-12-1 01:04 被ffashi编辑，原因： 2018-12-1 01:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复