关于我们
4SecNet 团队专注于网络安全攻防研究,目前团队成员分布在国内多家顶级安全厂商的核心部门,包括安全研究领域、攻防实验室等,汇聚了行业内的顶尖技术力量。团队在病毒木马逆向分析、APT 追踪、破解技术、漏洞分析、红队工具开发等多个领域积累了深厚经验,并持续在复杂威胁对抗和攻防技术创新方面不断探索与突破。4SecNet 致力于通过技术共享与实践推动网络安全生态的持续进步。
免责声明
本文的内容仅用于学习、交流和技术探讨,旨在传播网络安全知识,提高公众的安全意识。本博客不支持、提倡或参与任何形式的非法活动。本博客内容面向具备合法使用目的的读者,请确保在使用博客中涉及的技术或方法时符合《中华人民共和国网络安全法》等相关法律法规的要求。任何人不得将本博客内容用于破坏网络安全、侵入系统或其他违反法律的活动。
项目获取
微信搜索4SecNet,关注公众号加入圈子,获取项目详细信息
文章前言
随着网络攻击手段的升级,安全软件在防护体系中的作用日益重要。火绒杀毒软件凭借高效检测与轻量化运行受到广泛认可。然而,任何安全产品都可能存在未被发现的缺陷。安全研究人员深入分析这些漏洞,有助于推动技术进步,为企业和用户提供改进建议,提升整体防御水平。
详细信息
通过研究火绒的进程管理和自我保护机制,发现其可能存在的薄弱环节,并设计出快速终止关键进程的方法。此技术仅限于实验室测试、内部安全评估或红队演练,严禁用于非法用途。希望借此为安全产品优化提供参考,并提醒防御方关注相关风险。
创建挂起进程
我们使用 Windows API(如 CreateProcess 并设置 CREATE_SUSPENDED 标志)创建了一个挂起状态的新进程。该进程并非火绒本身,而是一个具备足够权限的辅助进程。由于挂起状态下线程尚未执行主函数代码,其内存可安全修改,而不会被操作系统立即调度执行。
利用高权限注入代码
该辅助进程具备足够权限,可对火绒其他进程执行内存操作。利用这一优势,我们通过 WriteProcessMemory、NtQueueApcThread 等技术,将预构造的代码注入辅助进程。该代码经过精心设计,能够破坏火绒进程的控制流程或数据结构,最终导致程序崩溃。
突破自我保护机制
火绒在防止恶意代码注入方面做了诸多防护,但我们通过"挂起进程"+"天堂之门注入"策略,绕过了常规检测与内核保护。由于目标进程在注入时处于正常运行状态,而辅助进程处于挂起状态,使其能够在不触发火绒自我保护的情况下完成代码植入。随后,利用辅助进程的高权限对火绒进程进行二次注入,从而实现关闭杀软的目的。
效果演示
利用程序使用火绒扫描未报毒
运行程序,击溃火绒
圈子介绍
目前团队已经开通知识圈子,圈子内部会不定期发布前沿的红蓝对抗技巧、免杀系列内容,同时还会不定期开放关于逆向学习相关课程和课件。除此之外圈子也作为一个平台,为大家创建一个技术交流的渠道,欢迎有兴趣的伙伴、也欢迎希望找到同频人的伙伴加入圈子。
✅ 自研shellcode引擎,源码一键生成shellcode。
✅ 白名单Kill杀软,R3环境利用白名单一键结束杀软。
✅ 单文件持久化,单文件一键写入计划任务持久化。
✅ 反沙箱技术,通过硬件条件实现沙箱检测。
🚨 还有更多实战资源!!!期待您的加入!!!