易语言汇编内核sockt、send、recv+动态创建线程防破J实现无法抓包

易网世界 · 发表于 2019-4-29 14:31:30

此方法非常直接的防止了HOOK与抓包（但是R0层还是无效的）
因为破J者喜欢下断Send 有点技术好的直接条件断ZwDeviceIoControlFile 我们这种方法很难跟踪
这种动态调用技术含量其实不高难度是ZwDeviceIoControlFile （直接发送控制代码到指定的设备驱动程序，使相应的移动设备以执行相应的操作的函数。）他是多功能地方调用函数许多驱动通讯硬盘类操作最走到这个函数
然而我们利用ZwDeviceIoControlFile 进行了请求发送难的是在参数如何获取因为没有几年逆向功底参数是逆不出来的因为这个函数太多地方调用了了
本源码所有抓包工具无效无法抓包所有发包API无法下断（除了网卡抓包因为躲过网卡抓包这已经不是易语言能开发出来的东西了）
此源码可以用作POST 跟GET 隐藏提交（广大协易友人的福音）而且速度非常快

源码核心价值就是防止被逆向解密因为没有那个人的请求会用明文断不下来send也就难以追踪请求加密算法
然而刚刚看到有人用Wireshark来抓包。。。
是肯定能抓到的R3没有能力在R0进行绕过除非你不走内核
或者你在R0做HOOK 回调还原等处理
但是在R3我们已经对R0进行加密了所以
OD定位不到API Wireshark 抓到的包基本没什么用
有人说我这速度会慢那我就发2份出来
一份是动态释放（解密时候会影响速度大概10万次发包里时间会多出静态释放的30%）
一份是只释放一次
然而不存在速度慢因为使用send的人就没有人指望发包调用速度会快过
解释下调用速度
API Send
从WS2_32.dll到mswsock.dll到NTdll.dll WIN7里全部调用汇编有6千多行
我们的发包已经把很多没必要的代码去掉了直接调用R0 整合下来也就2000多来行这个速度是真的可以不用考虑