真正做到PASS 360,启动项什么的。我觉得还是有可能的把?
虽然它就是一个流氓,但是我们要想办法比它更流氓。
只是有一个点:那就是行为监控,那既然行为监控(云分析抛开)。那就找一个可信任的程序来调用呗。
所以我萌生以下几种思路:
1:找大厂商的软件,来进行DLL劫持。
2:直接以shellcode的方式来loader,不经过磁盘,直接内存加载。
3:找360的信任的证书,去签名。(比如BAIDU,腾讯之类的。)或者大厂商的证书,比如ORACLE,MYSQL之类的证书等。反正就是用户广。
目前能想到的就是这几个,和大家来讨论一下。如果有说错了,还请别见怪,见识浅我。
最后附上之前研究PASS 360的图。完全受信任。