【短博文】火绒奇葩免杀姿势

最近开始学学Windows API,莫名发现火绒奇葩行为

首先是个copy自身到windows目录的程序
#pragma warning (disable:4996)
#include <iostream>
#include <Windows.h>
using namespace std;
int main()
{
    char windir[100];
    GetWindowsDirectory(windir, 100);
    char mydir[100];
    GetModuleFileName(NULL, mydir, 100);

    strcat(windir, "\\nimasile.exe");
    CopyFile(mydir, windir, FALSE);
    system("pause");
}
然后被火绒无情杀灭

但想要自己不被杀,只需要加一行代码就可以了
#pragma warning (disable:4996)
#include <iostream>
#include <Windows.h>
using namespace std;
int main()
{
    char windir[100];
    GetWindowsDirectory(windir, 100);
    char mydir[100];
    GetModuleFileName(NULL, mydir, 100);
    strcat(windir, "\\nimasile.exe");
    cout << "绒绒不要杀我嘤嘤嘤~" << endl;
    CopyFile(mydir, windir, FALSE);
    system("pause");
}
然后绒绒就听话地不杀了


注:本文用火绒企业版测试,但应该普通版也是一样的

评论

此博客中的热门博文

局域网监控软件WFilter ICF 鸡肋0day RCE漏洞挖掘

别想偷我源码:通用的针对源码泄露利用程序的反制(常见工具集体沦陷)

复现基于eBPF实现的Docker逃逸