开启辅助访问 切换到宽版

精易论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

用微信号发送消息登录论坛

新人指南 邀请好友注册 - 我关注人的新帖 教你赚取精币 - 每日签到


求职/招聘- 论坛接单- 开发者大厅

论坛版规 总版规 - 建议/投诉 - 应聘版主 - 精华帖总集 积分说明 - 禁言标准 - 有奖举报

查看: 63600|回复: 503
收起左侧

[2017开源大赛(第二届)] 防破J技术帖 汇编内核sockt 动态send 动态recv+动态创建线程 实现无法抓包

    [复制链接]
发表于 2017-11-10 05:09:36 | 显示全部楼层 |阅读模式   江苏省连云港市
本帖最后由 雨过天晴 于 2017-11-10 21:12 编辑

个人原创
相信今年大家有很大的技术突破
本源码所有抓包工具无效 无法抓包 所有发包API无法下断(除了网卡抓包 因为躲过网卡抓包这已经不是易语言能开发出来的东西了)


此源码可以用作POST 跟GET 隐藏提交(广大协yi友人的福音)而且速度非常快
今天有朋友问我大家都想要这个例子就在回复栏回复我会去写一份例子来共享


本源码核心价值就是防止被逆向解密因为没有那个人的请求会用明文 断不下来send也就难以追踪 请求加密算法
然而刚刚看到有人用Wireshark来抓包。。。
是肯定能抓到的R3没有能力在R0进行绕过除非你不走内核
或者你在R0做HOOK 回调 还原等处理
但是在R3我们已经对R0进行加密了所以
OD定位不到API  Wireshark 抓到的包基本没什么用
有人说我这速度会慢那我就发2份出来
一份是动态释放 (解密时候会影响速度 大概10万次发包里时间会多出静态释放的30%)
一份是只释放一次
然而不存在速度慢因为使用send的人就没有人指望发包调用速度会快过
解释下调用速度
API Send
从WS2_32.dll到mswsock.dll到NTdll.dll WIN7里全部调用汇编有6千多行
我们的发包已经把很多没必要的代码去掉了 直接调用R0 整合下来也就2000多来行 这个速度是真的可以不用考虑


原理解剖


1.png 2.png 3.png 4.png

国外著名反辅Zhu软件 BE R3调用内核函数通讯驱动方法与此源码方法一样
在这之前网上不会找出第二份内核发包的源码
懂的人自然会懂
一直以来防破J技术在网上并没有什么新的共享探讨
因为大神们不喜欢开源
此方法非常直接的防止了HOOK与抓包(但是R0层还是无效的)
因为破J者喜欢下断Send 有点技术好的直接条件断ZwDeviceIoControlFile 我们这种方法很难跟踪
这种动态调用技术含量其实不高 难度是ZwDeviceIoControlFile (直接发送控制代码到指定的设备驱动程序,使相应的移动设备以执行相应的操作的函数。)他是多功能地方调用函数 许多驱动通讯硬盘类操作最走到这个函数
然而我们利用ZwDeviceIoControlFile 进行了请求发送 难的是在参数如何获取 因为没有几年逆向功底参数是逆不出来的因为这个函数太多地方调用了了
然后我花了半天天时间把微软的参数来源都逆了出来并且自己封装  
如果觉得本贴不错可以支持一下加个分哟
图片时候打了几个错别字希望大家不要建议(分别是揭秘=解密  内涵=内核)
直接上图

1.png

2.png
3.png
4.png

源码下载
内核发包.e (45.75 KB, 下载次数: 1423)

点评

hook ZwDeviceIoControlFile 函数不就抓到包了?   重庆市重庆市  发表于 2021-8-14 08:31
牛逼的大佬   江西省南昌市  发表于 2018-12-19 17:59
HttpAnalyzer 还是可以抓到get包 要等几十秒就出来了   江苏省南通市  发表于 2017-11-17 18:59
POST 普通的会等待网页返回 我们如果多线程的话可以用TCP 只WSASend 不用接收数据效率是普通POST的10倍速度   江苏省连云港市  发表于 2017-11-11 03:38
FD可以防吗?我的好像抓得了   四川省宜宾市  发表于 2017-11-10 21:53
只要程序存在发包行为,就能抓包,世界上没有不能抓包的程序。所以所世界上没有绝对的网络安全   广东省云浮市  发表于 2017-11-10 13:23

评分

参与人数 49好评 +43 精币 +68 收起 理由
yu226227 + 1 + 2 YYDS~!
Hexinyan + 1 + 2 支持开源~!感谢分享
kofwoool + 1 + 1 支持开源~!感谢分享
浪子小刀 + 1 + 2 支持开源~!感谢分享
diwang + 1 支持开源~!感谢分享
想学坏的小孩 + 1 + 2 新技能已get√
内存辅助定制 + 1 确实不错,虽然我能抓你的包
一瓶矿泉水 + 1 + 2 冲着造轮子的辛苦,就应该加分,挺一下
a1133078 + 1 首先你写的代码就不够优化..再者代码的变量都是随便起名..最重要的是Hook Z
福仔 + 1 新技能已get√
a379270612 + 1 + 2 不明觉厉。。
116154801 + 1 支持开源~!感谢分享
懒鸟 + 1 支持开源~!感谢分享
情殇 + 1 感谢分享,很给力!~
ccx0905 + 1 新技能已get√
落款hMZ + 1 connect 不用汇编,一切等于0,抓包软件从来都不会管你的WASsend,他
leiyh + 1 + 2 感谢分享,很给力!~
1410432160 + 1 + 2 支持开源~!感谢分享
hrb011011 + 1 支持开源~!感谢分享
freexx + 1 + 2 此处应该有鼓励~
登峰望岳 + 1 + 2 感谢分享,很给力!~
lrbd1121 + 1 + 2 感谢分享,很给力!~
万化软件 + 1 + 1 新技能已get√
740949011 + 1 + 2 新技能已get√
182868088 + 1 + 2 技术贴,受教了
苍为 + 1 + 2 支持开源~!感谢分享
mainshentong + 1 感谢分享,很给力!~
一听软件 + 1 大神,请收下我的膝盖
大飛 + 1 + 8 感谢发布原创作品,精易因你更精彩!
鐵憨憨 + 1 + 2 新技能已get√
汉族 + 1 + 3 支持开源~!感谢分享
小R软件 + 1 支持开源~!感谢分享
531142747 + 1 + 2 此处应该有鼓励~
ωind + 1 支持开源~!感谢分享
夜的静night + 1 + 2 新技能已get√
ku2017 + 1 支持开源~!感谢分享
峰生水起之林 + 1 + 1 感谢分享,很给力!~
luzhiqi + 1 某破J论坛首发,搬运过来参加比赛
wanzhenghe999 + 1 + 2 感谢发布原创作品,精易因你更精彩!
戏雨流年 + 1 + 2 支持开源~!感谢分享
zenghuan + 1 新技能已get√
incwin + 1 + 1 感谢分享,很给力!~
先锋小七 + 1 49楼成功抓到包。但是楼主思路不错。
linzi0635 + 1 + 2 支持开源~!感谢分享
harding + 1 + 1 支持开源~!感谢分享
sinewtec + 1 + 2 新技能已get√
hehehero + 1 + 2 感谢分享,很给力!~
小桥流水34 + 1 + 2 支持开源~!感谢分享
wuzhongwen + 1 支持开源~!感谢分享

查看全部评分

本帖被以下淘专辑推荐:

签到天数: 4 天

发表于 2024-3-13 13:47:04 | 显示全部楼层   云南省昆明市
学习 学习 学习 学习
回复 支持 反对

使用道具 举报

发表于 2024-3-13 13:27:53 高大上手机用户 | 显示全部楼层   广东省广州市
学习
回复 支持 反对

使用道具 举报

发表于 2024-1-7 09:01:33 高大上手机用户 | 显示全部楼层   福建省漳州市
666
回复 支持 反对

使用道具 举报

结帖率:50% (1/2)
发表于 2023-12-2 02:45:28 | 显示全部楼层   浙江省杭州市
过来学习一下
回复 支持 反对

使用道具 举报

签到天数: 6 天

发表于 2023-10-16 20:08:20 | 显示全部楼层   广东省茂名市
谢谢分享!!!
回复 支持 反对

使用道具 举报

结帖率:0% (0/2)

签到天数: 1 天

发表于 2023-8-9 10:12:31 | 显示全部楼层   湖北省黄冈市
谢谢分享!!!
回复 支持 反对

使用道具 举报

签到天数: 6 天

发表于 2023-7-13 14:21:55 | 显示全部楼层   广东省梅州市
支持开源~!感谢分享
回复 支持 反对

使用道具 举报

结帖率:100% (2/2)

签到天数: 9 天

发表于 2023-7-12 21:53:36 | 显示全部楼层   安徽省安庆市
回复 支持 反对

使用道具 举报

结帖率:100% (2/2)

签到天数: 9 天

发表于 2023-7-12 21:53:19 | 显示全部楼层   安徽省安庆市
回复 支持 反对

使用道具 举报

结帖率:0% (0/1)

签到天数: 14 天

发表于 2023-4-19 22:41:29 | 显示全部楼层   四川省泸州市
支持开源
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则 致发广告者

发布主题 收藏帖子 返回列表

sitemap| 易语言源码| 易语言教程| 易语言论坛| 诚聘英才| 易语言模块| 手机版| 广告投放| 精易论坛
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
论坛帖子内容仅用于技术交流学习和研究的目的,严禁用于非法目的,否则造成一切后果自负!如帖子内容侵害到你的权益,请联系我们!
防范网络诈骗,远离网络犯罪 违法和不良信息举报电话0663-3422125,QQ: 800073686,邮箱:800073686@b.qq.com
Powered by Discuz! X3.4 揭阳市揭东区精易科技有限公司 ( 粤ICP备12094385号-1) 粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173

快速回复 返回顶部 返回列表