2007年6月26日星期二

[Tips]shellcode绕过kav6

by void
2007-06-18
http://www.ph4nt0m.org


kav6 hook了kernel32.dll里面的:
LoadLibraryA/W
LoadLibraryExA/W
GetProcAddress 等5个函数.
如果发现函数的返回地址位于stack,则弹出"buffer overrun detected"的报警.而且后续调用载入dll里的函数也会报警.
绕过方法:
shellcode里面,把调用这些函数的返回地址置于.code段或者kernel32.dll等里面.具体的实现就即兴发挥了:-)



axis小评:每种AV hook函数的方式都不一样,有兴趣的不妨跟跟。知道原理后,要break这些保护就相对变得简单了。另外shellcode要绕过保护比木马绕过保护要简单,因为一般shellcode是在漏洞中利用,本身就是在该进程中执行的。

没有评论: