【免杀】通用shellcode原理及思路——FS段寄存器获取kernel32.dll基址逻辑、根据函数名进行查找逻辑、双指针循环遍历获取函数名称

于 2023-01-08 11:17:02 发布
阅读量624 收藏
点赞数
分类专栏: 免杀 文章标签: c++ microsoft windows 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62783065/article/details/128474821
版权

通用shellcode

通用shellcode思路

  • 1、保存相关字符串

user32.dll、LoadLibraryA、GetProcAddress、MessageBoxA、hello 51hook

  • 2、通过fs寄存器获取kernel32.dll基址

Mov esi, fs: [0x30]//PEB
Mov esi,lesi+0xc]//LDR结构体地址Mov esi,[esi+Ox1c]//list
Mov esi,[esi]//list第二项
Mov ecx,[esi,+0x8]//kernel32.dll基址

  • 3、获取导出表根据导出表查找需要的函数MyGetProcAddress(imageBase, funName,strlen)

ImageBase+Ox3C=NT 头
NT头+0x78=dataDirectory第一项导出表EAT=导出表+0x1c
ENT=导出表+0X20EOT=导出表+0x24

  • 4、字符串比较函数

Repe cmpsb 字符比较,edi 与esi_地址的值按字节进行比较, ecx为0或者比较结果不相同时候停止DF循环。循环结束后将设置ZF标志位

  • 5、payload函数:( stradd)

通过调用以上各个功能实现输出hello51hook

REPE CMPSB 涉及三个寄存器: ECX, EDI, ESI 以字节为单位逐个比较EDI与ESI指向的字符串, 比较结果相等时继续循环, 不相等时跳出循环.

FS段寄存器获取kernel32.dll基址逻辑

 1. MOV esi,FS:[0x30] 获取PEB地址 
 2. MOV esi,[esi+0xc] 获取LDR地址 
 3. MOV esi,[esi+0x1c] 获取InitalizationOrderMoudleList地址 
 4. MOV esi,[esi] 获取第二个DLL文件信息 即Flink

第二种思路和第一种相差无几,有第二种思路是因为List_entry结构体在外层还有一个结构体。其名为LDR_DATA_TABLE_ENTRY,像我们看到的,他其中也有一个InitalizationOrderMoudleList结构体变量,我们上一种思路第三部调用的其实和这个是一样的。且这个结构体还有个重要的变量DllBase,他就相当于我们模块的基址,相当于GetModouleHandle,这样我们依旧可以靠他找到kernel32.dll来调用LoadLibrary和GetProcAddr这两个API。
两种思路进行结合即可获取dllbase。

 1. MOV esi,FS:[0x30] 获取PEB地址 
 2. MOV esi,[esi+0xc] 获取LDR地址 
 3. MOV esi,[esi+0x1c] 获取InitalizationOrderMoudleList地址 
 4. MOV esi,[esi+0x8] 获取dllbase

根据函数名进行查找逻辑

在这里插入图片描述
AddressOfNames存的是函数名称起始位置的偏移。ENT
AddressOfNameOrdinals存的是序号,加上Base等于dll文件中函数后面的序号。EOT
AddressOfFunctions存的是真正函数存储位置的偏移。EAT

下图从右向左
要找到MessageBoxW的函数地址,首先从AddressOfNames在AddressOfNameOrdinals中的索引找到MessageBoxW的序号,在AddressOfFunctions按序号找到地址。
在这里插入图片描述

双指针循环遍历获取函数字符串

			//[ebp-4] -> ENT
			//[ebp-8] -> EOT
			//[ebp-0xc] -> EAT
			//循环遍历找到目标函数的实际地址


			xor ebx, ebx			//计数器清零
			cld						//DF标志位置0,esi,edi指针递增	

			cmp_loop :
			mov ecx, [ebp + 0x10]		//字符串长度循环刷新ecx
			mov esi, [ebp + 0xc]		//目标字符串

			mov eax, [ebp - 4]
			mov edx, [eax + 4 * ebx]		//ENT表中存放的数据是相应RVA
			add edx, [ebp + 8]	//加上base
			mov edi, edx

			repe cmpsb

			cmp ecx, 0		//如果当前字符串匹配,bx就不加了
			jz fu
			inc ebx
			fu :
		jnz cmp_loop

			mov eax, ebx				//得到计数器索引可以在EOT中找到EAT中的索引,进而找到函数地址
			xor ebx, ebx		//接收eot索引先清零
			mov edx, [ebp - 8]
			mov bx, [edx + eax * 2]	//得到在EAT表中的索引值

			mov eax, [ebp - 0xc]	//获取EAT表头部指针
			mov esi, [eax + 4 * ebx]	//找到函数地址RVA
			add esi, [ebp + 0x8]	//加上base
			mov eax, esi


			mov esp, ebp
			pop ebp
			retn

总结

通用shellcode解决了所有的在内存中每一次重启电脑内存地址存放更换的问题,通过这种寻找方法可以做到在任何一台电脑上获取到kernel32.dll,通过这个dll文件可以对WinAPI函数进行很好的调用,所以用来写马再好不过,既有隐蔽性,又具有破坏性,也可以通过shellcode来进行免杀。

webfker from 0 to 1
关注
专栏目录
第05节 原则:Kernel32基址获取
imbyter师哥的博客
05-01 951
​简单说,kernel32基址是指kernel32.dll这个动态链接库加载到内存中后,它内存最开始的位置。任何一个exe加载到内存执行的时候,它所用到的动态链接库(dll)也都需要加载到内存中,才能够使用这个dll中的导出函数。在shellcode中,因为不存在PE结构,所以对每一个用到的函数所对应的dll文件,都需要我们手动去加载(即映射到内存)。比如我们要使用socket()这个函数,就需要先将这个函数所在的ws2_32.dll映射到内存,一般我们可以使用LoadLibrary这个函数来实现。
shellcode中动态定位API
whatday的专栏
09-24 1291
  定位API的原理: 所有的win_32程序都会加载ntdll.dll和kerner32.dll这两个最基础的动态链接库。如果想要在win_32平台下定位kernel32.dll中的API地址   1,首先通过段选择字FS在内存中找到当前的线程环境快TEB。   2,线程环境快偏移位置为0x30的地方存放着指向进程环境块PEB的指针。   3,进程环境块中偏移位置为0x0C的地方存放着...
利用FS寄存器获取KERNEL32.DLL基址算法的证明
sea
01-09 5042
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针
收集点关于FS寄存器的资料
晓斌的博客
03-08 5819
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针030  PEB结构地址(进程结构)034  上
FS寄存器资料
syflyhua的专栏
05-23 1503
转自 http://blog.csdn.net/yushiqiang1688/archive/2010/01/04/5127180.aspx FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移  说明 000  指向SEH链指针 004  线程堆栈顶部 008  线程堆栈底部 00C  SubSystemTib 010  FiberData 014  ArbitraryUse
获取Kernel32shellcode
lif12345的专栏
02-28 854
获取Kernel32shellcode
[ShellCode] 动态解密 ShellCode免杀
LYSM
11-27 2064
背景 今天在复习《加密与解密》时,在软件保护这一章中有一个代码与数据结合的案例,其原理是将代码段中的代码进行xor异或加密处理以后回写到原始位置,当程序运行后将此处的内容动态的进行解密,解密后回写替换回原始内存位置,这样就能实现内存加载。 由此案例我想到一个关于免杀的利用思路,首先杀软的运作方式多数为特征码查杀,当我们程序中使用了敏感的函数时,就会存在被杀的风险,而如果将代码段中的代码进行加密,需要时直接在内存中解密,那么杀软将无法捕捉硬盘文件的特征,从而可以规避杀软针对硬盘特征的查杀手法。 经过阅读该案例
Win 7下定位kernel32.dll基址shellcode编写1
08-03
Windows 7中,可以使用类似上述的技巧来编写能够找到kernel32.dll基址并调用其中的函数,如`CreateProcess`,以启动calc.exe的shellcode。 总之,定位kernel32.dll基地址是编写跨平台、跨版本的Windows shellcode...
免杀专题(一)shellcode原理
weixin_47224111的博客
12-30 3836
免杀专题(一)shellcode原理 基本概念 一段16进制的机器码,可在暂存器eip溢出后,塞入一段可让cpu执行的shellcode机器码,让电脑可以执行攻击者的任意指令。 原理 因为shellcode一般为一段汇编代码,不依赖任何编译环境,也不能像编写代码一样,调用api函数名称来实现功能。它通过主动查找dll基址并动态获取api地址的方式来实现api调用。 Kernel32.dll控制着系统的内存管理、数据的输入输出操作和中断处理。 shellcode分为两个模块,基本模块和功能模块 基本模块 用
WindowsFS 段寄存器
weixin_34408717的博客
11-06 483
代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000下值为0x38。差别就是在XP下RPL=3);运行在RING0下时,FS段寄存器值是0x30。下面以XP为例说说。 一.RING3下的FS ...
Shellcode免杀,过360、火绒、windows-Defender
Kris__zhang的博客
03-17 2423
快速生成免杀文件,过360、火绒、windows-Defender
fs寄存器
weixin_30502965的博客
10-01 371
1、fs寄存器在Ring0中指向一个称为KPCR的数据结构,即FS段的起点与KPCR结构对齐。 2、对于Ring3的应用程序,fs:[0]的地址指向的是TEB结构,这个结构的开头是一个NT_TIB结构,NT_TIB结构的0x18偏移处是一个Self指针,指向这个结构自身,也就是指向TEB结构的开头。 TEB结构的0x30偏移是一个指向PEB的指针。PEB又是一个结构,这个结构的0x2偏移处是一...
FS寄存器
weixin_30394333的博客
07-30 1410
FS寄存器指向当前活动线程的TEB结构(线程结构),缺省情况下fs:error表示fs未使用,若要引用fs寄存器,需fs:nothing后,才可使用。 XP下teb结构如下 kd> dt _tebnt!_TEB +0x000 NtTib : _NT_TIB ;SEH链表指针 +0x01c Environment...
shellcode免杀
weixin_43526443的博客
07-14 1907
0x06利用wmic远程文件不落地执行shellcode 1、msf生成的hta链接放入hta.xsl文件中,(其中JScript调用mshta运行恶意hta),并将文件放置攻击方服务器 <?xml version='1.0'?> <stylesheet xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt" xmlns:user="placeholder" ..
Python shellcode免杀
qq_25761407的博客
04-02 5592
Python shellcode免杀
免杀入门---shellcode免杀
LvHLong的博客
05-03 5551
前言 本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。 基础概念 免杀 免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。 杀毒软件工作原理 市面上的杀毒软件基本由扫描器、病毒特征库和虚拟机组成,它会把文件放在虚拟机内运行,扫描该文件的特征,包括静态特征、内存特征、行为特征等,通过和病毒特征库对比来判断一个文件是否为恶意文件。安全厂商一直在收集市面上出现的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

webfker from 0 to 1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值