shellcode免杀框架内附SysWhispers2_x86直接系统调用

最新推荐文章于 2024-06-16 08:57:39 发布
最新推荐文章于 2024-06-16 08:57:39 发布
阅读量1.1k 收藏 4
点赞数 2
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mai1zhi2/article/details/113808150
版权

1、概述

之前分析CS4的stage时,有老哥让我写下CS免杀上线方面知识,遂介绍之前所写shellcode框架,该框架的shellcode执行部分利用系统特性和直接系统调用(Direct System Call)执行,得以免杀主流杀软(火绒、360全部产品、毒霸等),该方式也是主流绕过3环AV、EDR、沙箱的常用手段。

 

2、简要介绍

该框架主要由四个项目组成:

GenerateShellCode:负责生成相关功能的shellcode。

EncryptShellCode:负责以AES128加密所将执行的shellcode。

FunctionHash:负责计算shell中所用到函数的hash值。

XShellCodeLoader:负责执行加密后的shellcode。

 

2.1 GenerateShellCode

以简单弹窗messagebox生成的shellcode作介绍,定义的入口函数MyEntry(),先定义了GetProcAddr()、LoadLibaryA()和MessageBoxA()三个函数对应的hash,然后通过MyGetProcAddress()传入hash值和kernel32基址返回相关函数地址再进行调用。

自定义函数入口需在项目属性->链接器->入口点中进行设置:

通过GetKernel32Base()函数获得kernel32基址:

 

通过MyGetProcAddress()函数传入hash值找出对应的函数名,函数内容就是解析kernel32的导出表,遍历每个函数并计算出相应hash并与传入的hash作比较:

GetProcHash()把函数名转为相应的hash:

Release x86模式生成后exe程序后,010editor打开找到.text代码段,将其抠出后得到shellcode:

 

2.2、EncryptShellCode

首先打开已经抠出的shellcode文件,并将器读入内存:

AES循环加密0x10个字节AES加密的实现是WjCryptLib_Aes开源项目:

加密后保存到新文件:

 

2.3、FunctionHash

这个比较简单,计算所需要用到函数的hash值:

 

2.4、XShellCodeLoader

下面着重介绍下shellcode的执行实现,因为x86、x64进0环进3环的方式不同,在这里简单介绍下不同版本3环进0环的方式:

一、32位的程序在32位系统上运行有两种方式进0环,第一个是中断门int 02Eh,第二种是sysenter

二、32位的程序在64位系统上运行,通过FastSystemCall进0环

三、64位的程序在64位系统上运行,通过syscall进0环

这里用vs的Release x86来进行编译,所生成的32位exe程序在32位系统运行使用sysenter进0环,在64位系统则使用FastSystemCall进0环。

 

下面我们先以32位程序运行在32位系统的sysenter进行讲解:

首先自定义一个区段,该区段的属性最好只为read,一定不要read、write、execute全上,这种全属性在内存中会显得很可疑,区段名最好为系统常用的而这个程序又没用到的,如.edata,因为360杀毒可能会对不常见的区段名报毒,另外不建议使用#pragma section(".edata",read,execute,nopage) 该方式定义区段名,因为该方式生成的区段会出现在程序中所有区段的最前面,360杀毒报毒,特征较明显。使用以下方式去定义区段,区段的内容为已AES加密的shellcode:

 

 

然后通过遍历自身程序的区段查找出自定义的区段:

接着调用NtProtectVirtualMemory()修改自定义区段的属性为可读可写,即readwrite

NtProtectVirtualMemory()是由汇编所写的直接系统调用:

解析上述汇编,首先把001911B13h这个对应NtProtectVirtualMemory函数名的hash值压栈,然后调用SW2_GetSyscallNumber函数(后面解析syswhier框架时会提及),该函数会返回NtProtectVirtualMemory对应的系统调用号,mov ecx,5h是把函数个数赋值给ecx,再把NtProtectVirtualMemory()函数所传入的参数相继压栈,然后调用sysenter。

 

接着循环把自定义区段解密出来:

 

把自定义区段的属性还原到read、execute:

 

执行shellcode:

 

再来看看32位程序运行在64位系统的KiFastSystemCall,其主要区别只在于汇编部分:

Call internal_cleancall_wow64_gate,internal_cleancall_wow64_gate的值为__readfsdword(0xC0),

 

 

 

3、执行效果

实验环境:

Team server: Kali 2020 192.

控制端:win7 

受控端:win 7

火绒版本号:

静态查杀,未发现风险:

执行并未拦截,运行上线:

 

360安全管家及360杀毒版本号:

 

静态查杀,未发现风险:

 

执行并未拦截,运行上线:

 

框架项目代码:

 

  1. whsys项目简介

该项目较为简单,主要方法有三个:

  • SW2_HashSyscall()

该方法是计算传入的函数名的hash值。

二、SW2_PopulateSyscallList()

该函数中首先找到ntdll的基址:

 

 

原版只有64位程序运行在64系统的syscall,最后附上该项目修改后的32位程序运行在32位系统的sysenter和32位程序运行在64位系统的KiFastSystemCall版本,使用方法均与原版一致:

 

 

mai1zhi2
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
调用 dll 侵权_ShellCode免杀框架内附SysWhispers2_x86直接系统调用
weixin_30480859的博客
01-29 862
本帖最后由 mai1zhi2 于 2021-1-28 12:27 编辑文章来自:https://www.52pojie.cn/thread-1360548-1-1.html如有侵权,请联系删除1、概述之前分析CS4的stage时,有老哥让我写下CS免杀上线方面知识,遂介绍之前所写shellcode框架,该框架shellcode执行部分利用系统特性和直接系统调用(Direct Syste...
SysWhispers2:通过直接系统调用进行AVEDR规避
03-08
SysWhispers2 SysWhispers通过生成植入程序可用来进行直接系统调用的标头/ ASM文件来帮助规避。 支持所有核心系统调用,并且在example-output/文件夹中提供了示例生成的文件。 SysWhispers 1和2之间的区别 用法与几乎相同,但是您不必指定要支持的Windows版本。 大部分更改都在后台进行。 它不再依赖的,而是使用流行的“ ”技术。 这显着减小了syscall存根的大小。 SysWhispers2中的特定实现是@modexpblog代码的变体。 一个区别是函数名称哈希在每一代中都是随机的。 ,谁曾这种技术早些时候,有另一个基于C ++ 17,这也是值得一试。 原始的SysWhispers存储库仍处于运行状态,但将来可能会弃用。 介绍 各种安全产品在用户模式API函数中放置了钩子,使它们可以将执行流重定向到其引擎并检测可疑行为。 进行系统
最新免杀!可过360核晶与Defender(SysWhispers3)
潇湘信安的博客
05-19 1487
SysWhispers3WinHttp 基于SysWhispers3项目增添WinHttp分离加载功能,目前还可免杀绕过360核晶与Defender。
【护网必备】免杀木马一键生成框架
最新发布
Fly_鹏程万里
06-16 470
本项目是一款一键化生成免杀木马的shellcode免杀框架,具备本地加载方式和远程加载方式(本工具没有追求多而全的加载方式,去除经多次测试无效的加载技术并保留了最实用最接近APT的利用方式)
SysWhispers2_x86:X86版本的syswhispers2 x86直接系统调用
03-06
SysWhispers2_x86 SysWhispers2只支持x64,在此基础上作一点微小的工作,使用方法与注意要在vs x86模式编译生成,不要在x64模式。 由于syswhisper2仅支持x64,因此我们在此基础上做了一些工作,其使用方法与syswhisper2相同。 SysWhispers2_ x86_ Sysenter负责生成32位程序并在32位系统上运行,Syswhisper2_ x86_ Wow64gate负责生成32位程序并在64位系统上运行。 当心! 在vs x86模式下构建,而不在x64模式下构建。
cpp-ShellcodeStdio一个可扩展的框架用于轻松编写可调试编译器优化位置无关Windows平台的x86shellcode
08-16
ShellcodeStdio一个可扩展的框架,用于轻松编写可调试,编译器优化,位置无关,Windows平台的x86 shellcode
探索SysWhispers2_x86:一个强大的Windows内核模块静默加载工具
gitblog_00066的博客
03-27 261
探索SysWhispers2_x86:一个强大的Windows内核模块静默加载工具 项目地址:https://gitcode.com/mai1zhi2/SysWhispers2_x86 SysWhispers2_x86是一个开源项目,由开发者mai1zhi2创建,旨在帮助安全研究人员和系统工程师在x86架构的Windows系统中实现内核模块的无声加载。该项目利用了特定的技术策略,使得在不触发常规防...
探秘SysWhispers2:无声无息的系统级调试利器
gitblog_00084的博客
03-25 421
探秘SysWhispers2:无声无息的系统级调试利器 项目地址:https://gitcode.com/jthuraisamy/SysWhispers2 项目简介 SysWhispers2 是一款由开发者 J. Thuraisamy 创建的开源工具,用于在没有源代码、调试器或内核模块的情况下,实现对Windows操作系统系统级功能调用。它是一种低级别的编程和逆向工程方法,让安全研究人员和技术爱...
ShellCodeFramework:绕3环的shellcode免杀框架
03-06
2. **多平台支持**:由于shellcode需要在目标系统上运行,因此框架必须支持多种操作系统和架构,如Windows、Linux、Mac OS等,以及x86、x64、ARM等不同的处理器架构。 3. **模块化设计**:ShellCodeFramework采用...
stealthInjector:使用直接系统调用shellcode 注入远程进程
05-31
隐形注射器使用直接系统调用shellcode 注入远程进程。 直接系统调用将绕过许多 AV/EDR 检测技术,例如 API 用户态挂钩和监控。 系统调用是通过读取 ntdll.dll 而不是使用硬编码程序集动态检索的。 动态检索系统...
此源代码将生成 linux x86shellcode.rar_linux shellcode_shell
09-20
生成shellcode的过程通常涉及到理解系统调用、内存操作和避开安全机制。 在标签中,“linux_shellcode”指明了这个话题与Linux操作系统shellcode有关,而“shell”则强调了shellcode的目标是获取shell。这表明源...
SysWhispers:通过直接系统调用规避AVEDR
05-30
系统私语 SysWhispers 通过生成植入程序可以用来进行直接系统调用的头文件/ASM 文件来帮助规避。 从Windows XP到Windows 10 19042(20H2),都支持所有核心syscall。 在example-output/文件夹中可用的示例生成文件。 介绍 各种安全产品在用户模式 ​​API 中放置钩子,允许它们将执行流重定向到它们的引擎并检测可疑行为。 ntdll.dll中生成系统调用的函数仅包含一些汇编指令,因此在您自己的植入物中重新实现它们可以绕过这些安全产品挂钩的触发。 该技术由推广,他的有更多值得阅读的技术细节。 SysWhispers 为红队人员提供了为核心内核映像 ( ntoskrnl.exe ) 中的任何系统调用生成标头/ASM 对的能力,该功能适用​​于从 XP 开始的任何 Windows 版本。 标头还将包括必要的类型定义。 这与 POC 之
30.远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀率10-69)1
08-03
远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀率10-69)1】 在网络安全领域,绕过反病毒软件(AV)的检测,即“免杀”技术,是一项重要的技能。本文将探讨如何利用Python来加载和执行shellcode,同时尽...
Android系统shellcode编写.zip_android_shellcode
09-23
在Android系统中,shellcode是一种特殊的代码片段,用于在获得程序执行权限后,实现特定功能,比如控制系统、执行恶意操作等。随着Android设备的广泛使用,Android系统的安全性变得至关重要,而shellcode的编写和...
一款免杀框架 -- AniYa​
m0_60571990的博客
01-03 904
一款免杀框架 -- AniYa​
探索SysWhispers:一款强大的系统调用静默执行工具
gitblog_00040的博客
03-25 255
探索SysWhispers:一款强大的系统调用静默执行工具 项目地址:https://gitcode.com/jthuraisamy/SysWhispers 项目简介 SysWhispers 是由J. Thuraisamy开发的一个开源项目,旨在提供一种安全、隐蔽的方式来执行Linux系统的内核级操作,而不留下明显的痕迹。它通过利用系统调用在用户空间和内核空间之间的通信,实现了对目标程序的无痕注入...
探索GolangBypassAV:高效安全的免杀工具框架
gitblog_00095的博客
05-17 323
探索GolangBypassAV:高效安全的免杀工具框架 项目地址:https://gitcode.com/safe6Sec/GolangBypassAV 项目介绍 GolangBypassAV 是一个专注于利用Go语言进行病毒扫描器绕过的开源项目。由安全专家打造,它提供了一套实用的方法和技巧,帮助开发者在面临安全性挑战时实现代码的免杀功能。该项目不仅注重实用性,也鼓励学习和探索,使您能够在理解和...
一款轻松免杀主流杀软的c2框架
Gamma_lab的博客
06-30 2463
前言 恕我直言,cs 无论是马或者源文件都被分析烂了,且 cs 的行为太明显了,必 须要大改特改才能满足现在的红蓝对抗,但是想大改谈何容易,所以最快的方 法是寻找一款新的 c2 框架,说白了,远控自己都能写一个出来,执行一些简单 操作还是可以的。 故事从现在开始 最佳有一款老外开发的猎鹰 c2 框架说是要在下周发布,看着很吊的样子,我们 拭目以待,今天要介绍的一款好玩的用 rust 语言开发的 c2 框架,是我无意间 逛 github 上面看到的,这里我记录一下此框架的使用:为啥我会选择这个框 架,因为它是
Golang-Gin 框架写的免杀平台,内置分离、捆绑等多种BypassAV方式
qq_44005305的博客
01-31 411
第一个文件选择木马(木马.exe),第二个文件选择要捆绑的文件(如pdf等)点击生成目前火绒、360、卡巴斯基、def全过;先这样用,不能bypass了再说,更新频率看star数量。
shellcode 免杀
05-29
Shellcode 免杀技术是指通过对 Shellcode 代码进行加密、混淆、变形等手段,使其在被杀毒软件或安全设备检测时无法被识别,从而达到免杀的目的。 以下是一些常见的 Shellcode 免杀技术: 1. 加密:将 Shellcode 代码进行加密,使其在内存中存储时无法被检测到。 2. 随机变形:通过修改 Shellcode 代码中的一些关键字、函数名等来使其难以被检测到。 3. 延时加载:将 Shellcode 代码分为多个部分,只有在特定条件下才会加载,从而避免被杀毒软件或安全设备检测到。 4. 模块化:将 Shellcode 代码拆分为多个模块,每个模块都可以独立执行,从而难以被检测到。 5. 零宽度字符:利用 Unicode 中的零宽度字符来隐藏 Shellcode 代码,使其在被杀毒软件或安全设备检测时无法被识别。 需要注意的是,Shellcode 免杀技术只是提高了 Shellcode免杀能力,但并不能完全避免被检测到。因此,在实际应用中,还需要结合其他防御措施来确保系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值