学步园

kav6 hook了kernel32.dll里面的:
LoadLibraryA/W
LoadLibraryExA/W
GetProcAddress 等5个函数.
如果发现函数的返回地址位于stack,则弹出"buffer overrun detected"的报警.而且后续调用载入dll里的函数也会报警.
绕过方法:
shellcode里面,把调用这些函数的返回地址置于.code段或者kernel32.dll等里面.具体的实现就即兴发挥了:-)

axis小评：每种AV hook函数的方式都不一样，有兴趣的不妨跟跟。知道原理后，要break这些保护就相对变得简单了。另外shellcode要绕过保护比木马绕过保护要简单，因为一般shellcode是在漏洞中利用，本身就是在该进程中执行的。