本源码所有抓包工具无效 无法抓包 所有发包API无法下断(除了网卡抓包 因为躲过网卡抓包这已经不是易语言能开发出来的东西了)
此源码可以用作POST 跟GET 隐藏提交(广大协yi友人的福音)而且速度非常快
今天有朋友问我大家都想要这个例子就在回复栏回复我会去写一份例子来共享
本源码核心价值就是防止被逆向解密因为没有那个人的请求会用明文 断不下来send也就难以追踪 请求加密算法
然而刚刚看到有人用Wireshark来抓包。。。
是肯定能抓到的R3没有能力在R0进行绕过除非你不走内核
或者你在R0做HOOK 回调 还原等处理
但是在R3我们已经对R0进行加密了所以
OD定位不到API Wireshark 抓到的包基本没什么用
有人说我这速度会慢那我就发2份出来
一份是动态释放 (解密时候会影响速度 大概10万次发包里时间会多出静态释放的30%)
一份是只释放一次
然而不存在速度慢因为使用send的人就没有人指望发包调用速度会快过
解释下调用速度
API Send
从WS2_32.dll到mswsock.dll到NTdll.dll WIN7里全部调用汇编有6千多行
我们的发包已经把很多没必要的代码去掉了 直接调用R0 整合下来也就2000多来行 这个速度是真的可以不用考虑
原理解剖
国外著名反辅Zhu软件 BE R3调用内核函数通讯驱动方法与此源码方法一样
在这之前网上不会找出第二份内核发包的源码
懂的人自然会懂
一直以来防破J技术在网上并没有什么新的共享探讨
因为大神们不喜欢开源
此方法非常直接的防止了HOOK与抓包(但是R0层还是无效的)
因为破J者喜欢下断Send 有点技术好的直接条件断ZwDeviceIoControlFile 我们这种方法很难跟踪
这种动态调用技术含量其实不高 难度是ZwDeviceIoControlFile (直接发送控制代码到指定的设备驱动程序,使相应的移动设备以执行相应的操作的函数。)他是多功能地方调用函数 许多驱动通讯硬盘类操作最走到这个函数
然而我们利用ZwDeviceIoControlFile 进行了请求发送 难的是在参数如何获取 因为没有几年逆向功底参数是逆不出来的因为这个函数太多地方调用了了
然后我花了半天天时间把微软的参数来源都逆了出来并且自己封装
图片时候打了几个错别字希望大家不要建议(分别是揭秘=解密 内涵=内核)
直接上图
