关于C2对抗的一些知识点

最新推荐文章于 2024-07-12 10:43:26 发布
最新推荐文章于 2024-07-12 10:43:26 发布
阅读量221 收藏 2
点赞数 5
分类专栏: 学习历程 文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29948489/article/details/137039254
版权

逆向对抗

参考:https://bbs.kanxue.com/thread-225740.htm

1、使用WindowsAPI
BOOL CheckDebug()
{
    return IsDebuggerPresent();
}


BOOL CheckDebug()
{
    BOOL ret;
    CheckRemoteDebuggerPresent(GetCurrentProcess(), &ret);
    return ret;
}


#include <winternl.h>
#include <fstream>

typedef NTSTATUS(WINAPI* PNtQueryInformationProcess)(IN  HANDLE, IN  PROCESSINFOCLASS, OUT PVOID, IN ULONG, OUT PULONG);

void main(){

    BypassSimulation();

    PNtQueryInformationProcess pNtQueryInformationProcess = (PNtQueryInformationProcess)GetProcAddress(GetModuleHandleW(L"ntdll.dll"), "NtQueryInformationProcess");
    DWORD64 isDebuggerPresent2 = 0;
    pNtQueryInformationProcess(GetCurrentProcess(), ProcessDebugPort, &isDebuggerPresent2, sizeof DWORD64, NULL);
    if (isDebuggerPresent2)
    {
        MessageBox(nullptr, L"ERROR", L"ERROR", MB_OK);//检测到调试就输出ERROR
    }
    else
    {
        MessageBox(nullptr, L"Not debugger", L"No Debugger", MB_OK);
        ApcLoader();//加载的shellcode的函数
    }



}

完整代码

本地win调试

image-20240310135448335

image-20240310135508517

直接运行

image-20240310135623132

使用x64_dbg调试

image-20240310135727332

沙盒对抗/逆向对抗参考文章

常见调试分析检测技术
https://github.com/a0rtega/pafish/
https://github.com/Arvanaghi/CheckPlease
https://github.com/wanttobeno/AntiDebuggers
https://github.com/LordNoteworthy/al-khaser
https://github.com/ZanderChang/anti-sandbox
https://github.com/nek0YanSu/CheckVM-Sandbox
https://github.com/sunn1day/malware-anti-techniques
https://bbs.kanxue.com/thread-225740.htm
https://anti-debug.checkpoint.com/techniques/debug-flags.html

反沙箱
https://github.com/ZanderChang/anti-sandbox(目前多数已经失效,但也具有学意义)
反调试
https://bbs.kanxue.com/thread-225740.htm

沙盒对抗

自定义循环延时执行

不使用自带的sleep,循环打印浪费时间(目前这个手法无效,已经被沙盒平台给拿捏了)

int seep()
{
    int i = 0;
    int j = 0;
    char* strpi = NULL;
    strpi = (char*)malloc(10000);
    for (i = 0; i < 10000; i++)
    {
        strpi[i] = 0;
        printf("%d,%d\n", strpi[i], i);
    }
    for (j = 0; j < 300; j++)
    {
        printf("%d,%d\n", strpi[j], j);
    }
    free(strpi);
    return 0;
}

HANDLE hEvent = CreateEvent(NULL, TRUE, FALSE, NULL);
WaitForSingleObject(hEvent, 10000);
printf("hello world\n");
CloseHandle(hEvent);
return 0;

检测目标特征是否正确

判断真机目标IP地址或计算机名,用户名等特征。这个不好把握。

int gensandbox_username() {
	char username[200];
	size_t i;
	DWORD usersize = sizeof(username);
	GetUserNameA(username, &usersize);

	for (i = 0; i < strlen(username); i++) { 
		username[i] = toupper(username[i]);
		//printf(username);
	}
	if (strstr(username, "ADMIN") != NULL) {
		return TRUE;
	}
	return FALSE;
}

检测目录文件是否正确

判断真机常见软件目录或当前目录自行创建的。(推荐使用这个)

bool Is_File_Exist(const std::string& file_path)
{
    std::ifstream file(file_path.c_str());
    return file.good();
}


BOOL isFileExists(TCHAR* szPath) {
    DWORD dwAtrribt = GetFileAttributes(szPath);
    return (dwAtrribt != INVALID_FILE_ATTRIBUTES) && !(dwAtrribt &
        FILE_ATTRIBUTE_DIRECTORY);
}


BOOL isDirExists(TCHAR* szPath) {
    DWORD dwAtrribt = GetFileAttributes(szPath);
    return (dwAtrribt != INVALID_FILE_ATTRIBUTES) && (dwAtrribt &
        FILE_ATTRIBUTE_DIRECTORY);
}


BOOL isExistsRegkey(HKEY hKey, TCHAR* regkey_s) {
    HKEY regkey;
    DWORD ret;
    ret = RegOpenKeyEx(hKey, regkey_s, 0, KEY_READ, &regkey);
    if (ret == ERROR_SUCCESS) {
        RegCloseKey(regkey);
        return TRUE;
    }
    else
        return FALSE;
}

这是4个不同的检测手法,这里用的第一个

image-20240310141453441

image-20240310141506318

无1.txt不加载

image-20240310141339797

上述代码在win7上执行时缺少dll

故不用1.txt来上线

以下为修改过的代码

qvm 202

其实360的qvm 202不需要签名(伪造/复制签名)只要添加非大众的icon和版本资源信息就可以。
关于注入问题360 VT hook,会拦截写内存的这个操作,但是并非没有办法绕过,不过最简单的方法就是使用白加黑~。
火绒的除了静态引擎,还有自己的沙箱,这就是为啥有的时候你用了简单的加密但还是被精准命中的原因。
对于国产民用安全软件只需要控制一下自己的导出函数,动态调用就可以很轻松的绕过,如果有强特征也可以用上古二分法进行判断定位到源码进行修改。
对抗云分析呢就采用分离,反沙箱,反调试等方案,展开说就太多了~以上仅限于国产民用。

过火绒

过亚信

过360+核晶+qvm

熵值降低

只需要加入光标资源即可

image-20240320112332803

win原生api

image-20240314165225565

AddClusterNode
	BluetoothRegisterForAuthentication
	CMTranslateRGBsExt

CallWindowProcA
	CallWindowProcW
	CreateCluster

CreateDialogIndirectParamA
	CreateDialogIndirectParamW
	CreateDialogParamA

CreateDialogParamW
	CreatePrintAsyncNotifyChannel
	CreateTimerQueueTimer

DavRegisterAuthCallback
	DbgHelpCreateUserDump
	DbgHelpCreateUserDumpW

DdeInitializeA
	DdeInitializeW
	DestroyCluster

DialogBoxIndirectParamA
	DialogBoxIndirectParamW
	DialogBoxParamA

DialogBoxParamW
	DirectSoundCaptureEnumerateA
	DirectSoundCaptureEnumerateW

DirectSoundEnumerateA
	DirectSoundEnumerateW
	DrawStateA

DrawStateW
	EnumCalendarInfoA
	EnumCalendarInfoW

EnumChildWindows
	EnumDateFormatsA
	EnumDateFormatsW

EnumDesktopWindows
	EnumDesktopsA
	EnumDesktopsW

EnumEnhMetaFile
	EnumFontFamiliesA
	EnumFontFamiliesExA

EnumFontFamiliesExW
	EnumFontFamiliesW
	EnumFontsA

EnumFontsW
	EnumICMProfilesA
	EnumICMProfilesW

EnumLanguageGroupLocalesA
	EnumLanguageGroupLocalesW
	EnumMetaFile

EnumObjects
	EnumPropsExA
	EnumPropsExW

EnumPwrSchemes
	EnumResourceLanguagesA
	EnumResourceLanguagesExA

EnumResourceLanguagesExW
	EnumResourceLanguagesW
	EnumResourceNamesA

EnumResourceNamesExA
	EnumResourceNamesExW
	EnumResourceNamesW

EnumResourceTypesA
	EnumResourceTypesW
	EnumResourceTypesExA

EnumResourceTypesExW
	EnumResourceTypesW
	EnumSystemCodePagesA

EnumSystemCodePagesW
	EnumSystemLanguageGroupsA
	EnumSystemLanguageGroupsW

EnumSystemLocalesA
	EnumSystemLocalesW
	EnumThreadWindows

EnumTimeFormatsA
	EnumTimeFormatsW
	EnumUILanguagesA

EnumUILanguagesW
	EnumWindowStationsA
	EnumWindowStationsW

EnumWindows
	EnumerateLoadedModules
	EnumerateLoadedModulesEx

EnumerateLoadedModulesExW
	EventRegister
	GetApplicationRecoveryCallback

GrayStringA
	GrayStringW
	KsCreateFilterFactory

KsMoveIrpsOnCancelableQueue
	KsStreamPointerClone
	KsStreamPointerScheduleTimeout

LineDDA
	MFBeginRegisterWorkQueueWithMMCSS
	MFBeginUnregisterWorkQueueWithMMCSS

MFPCreateMediaPlayer
	MQReceiveMessage
	MQReceiveMessageByLookupId

NotifyIpInterfaceChange
	NotifyStableUnicastIpAddressTable
	NotifyTeredoPortChange

NotifyUnicastIpAddressChange
	PerfStartProvider
	PlaExtractCabinet

ReadEncryptedFileRaw
	RegisterApplicationRecoveryCallback
	RegisterForPrintAsyncNotifications

RegisterServiceCtrlHandlerExA
	RegisterServiceCtrlHandlerExW
	RegisterWaitForSingleObject

RegisterWaitForSingleObjectEx
	SHCreateThread
	SHCreateThreadWithHandle

SendMessageCallbackA
	SendMessageCallbackW
	SetTimerQueueTimer

SetWinEventHook
	SetWindowsHookExA
	SetWindowsHookExW

SetupDiRegisterDeviceInfo
	SymEnumLines
	SymEnumLinesW

SymEnumProcesses
	SymEnumSourceLines
	SymEnumSourceLinesW

SymEnumSymbols
	SymEnumSymbolsForAddr
	SymEnumSymbolsForAddrW

SymEnumSymbolsW
	SymEnumTypes
	SymEnumTypesByName

SymEnumTypesByNameW
	SymEnumTypesW
	SymEnumerateModules

SymEnumerateModules64
	SymEnumerateSymbols
	SymEnumerateSymbols64

SymEnumerateSymbolsW
	SymSearch
	SymSearchW

TranslateBitmapBits
	WPUQueryBlockingCallback
	WdsCliTransferFile

WdsCliTransferImage
	WinBioCaptureSampleWithCallback
	WinBioEnrollCaptureWithCallback

WinBioIdentifyWithCallback
	WinBioLocateSensorWithCallback
	WinBioRegisterEventMonitor

WinBioVerifyWithCallback
	WlanRegisterNotification
	WriteEncryptedFileRaw

WsPullBytes
	WsPushBytes
	WsReadEnvelopeStart

WsRegisterOperationForCancel
	WsWriteEnvelopeStart
	mciSetYieldProc

midiInOpen
	midiOutOpen
	mixerOpen

mmioInstallIOProcA
	mmioInstallIOProcW
	waveInOpen

waveOutOpen

http://ropgadget.com/posts/abusing_win_functions.html
zzz的安全之路
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[实践篇]13.11 扒一扒qvm和vmm之间的那点儿事儿
从0到1,突破自己
10-11 5561
QVM和VMM时Q+LA方案中非常重要的两个概念。VMM通过startupmgr拉起,并根据设备树但配置来启动qvm进程;vmm用于监听qvm服务的状态事件,并及时分发给所需要配合处理的客户端,就像广播一样通过一个通知库来通知所有注册了vmm服务但客户端。VMM监听startupmgr和其他外部但实体并根据控制接口来处理启动,重启和终止qvm的请求。
c2
02-13
详细知识点: 1. **JavaScript C2架构**:理解JavaScript C2的工作原理,包括如何在客户端和服务器之间建立隐蔽的通信路径,以及如何通过HTTP、HTTPS、WebSocket或其他协议传输指令和数据。 2. **编码和解码**:...
免杀QVM心得
0ffs3t
12-20 7535
HEUR/Malware.QVM06.Gen   一般情况下加数字签名可过 HEUR/Malware.QVM07.Gen   一般情况下换资源 HEUR/Malware.QVM13.Gen   加壳了 HEUR/Malware.QVM19.Gen   杀壳 (lzz221089提供 ) HEUR/Malware.QVM20.Gen   改变了入口点 HEUR/Malware.QVM27.
李迟2021年11月知识总结
李迟的专栏
11-30 614
本文为 2021 年 11 月知识总结。
关于360提示发现木马—HEUR/QVM.Malware.Gen
热门推荐
李公子的博客
12-24 15万+
今天用Visual Studio写的关于三层架构的程序  在启动运行时,弹出了360关于"检测到木马程序"的提示框: 虽然知道自己写的是正规程序,但初看时还是被吓了一跳,于是立马上网查阅相关资料和解答,结论是: HEUR/Malware.QVM03.Gen木马是360专有的误报!!!,大家可以安心使用,添加信任。用Microsoft Visual Studio 编写的程序大多会被360安全...
没有计算机编程相关知识面字节提前批.docx
06-20
面试主要涵盖了以下几个知识点: 1. **Generative Adversarial Networks (GANs)**:面试官询问了GAN的损失函数形式、GAN的基本概念以及训练机制。GAN是一种深度学习模型,由生成器和判决器两部分构成,通过对抗性...
河南省陕州中学2014-2015学年高二生物下学期第一次精英对抗赛试题
08-19
以上是对高二生物下学期第一次精英对抗赛试题中涉及的微生物发酵、微生物培养、植物组织培养等相关知识点的详细解释。这些知识涵盖了微生物学的基础原理和应用技术,是生物学中微生物发酵工程和生物技术的重要组成...
河南省陕州中学2014-2015学年高二化学下学期第一次精英对抗赛试题
08-19
知识点】 1. 物质的应用安全性:CCl4(四氯化碳)曾用于灭火,但由于其在高温下与水反应产生有毒物质,已被禁止使用。这涉及到化学物质的安全性和环境影响。 2. 胶体性质:静电除尘器的工作原理基于胶体的电泳...
网络安全的神秘世界】XSS基本概念和原理介绍
weixin_54750312的博客
07-09 793
恶意攻击者往web页面插入恶意代码脚本(JS代码),当用户浏览该页面时,嵌入web里面的JS代码会被执行,从而达到恶意攻击用户的目的。也叫持久型,常见的就是在博客留言版、反馈投诉、论坛评论等位置,将恶意代码和正文都存入服务端,每次访问都会触发恶意代码。我们可以构造恶意代码,观察远程服务器web日志,只要网站管理员访问,它的cookie值就被盗取。发现恶意代码被浏览器保存到页面了,访问其他网页再回来,仍会造成攻击,这就叫持久型。像刚才的攻击流程,攻击一次立马失效,这就叫非持久型。
解读网络安全公司F5:助企业高效简化多云和应用部署
hanniuniu13的博客
07-09 386
在全球迈入数字时代和深入推进产业数智化的当下,F5在全球确立了应用交付、现代应用、应用安全、分布式云四个战略业务方向后,F5一直在积极推进该项战略在中国的落地。、简化已有的网络战略的具体实践中,F5与WWT和Google Cloud合作,利用解决方案帮助客户在多云环境中管理错综复杂的应用交付和安全问题。在WWT的实施支持和Google Cloud的基础设施基础之上,再运用F5提供的安全解决方案,让企业在过渡到云环境并在云环境中扩展时,能够保持一致的安全措施和卓越的用户体验。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 1201
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
中职网络安全B模块渗透测试server2003
网络安全技术分享
07-09 805
将sam.hive和system.hive文件复制到win7的c盘根目录然后使用mimikatz工具提取。使用nmap扫描发现目标靶机开放端口232疑似telnet直接进行连接测试成功。
网络安全-内网安全加固方案
最新发布
PanDD_0_1的博客
07-12 502
网络安全-内网安全
网络安全防御【防火墙安全策略用户认证综合实验】
miss_copper的博客
07-10 1197
先新建一个管理员角色(网络安全管理员):再新建一个管理员(用户名密码自拟):至此本实验全部结束!!!
网络设备安全
weixin_48579910的博客
07-11 837
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。
【黑龙江网络安全等级保护测评报告】
weixin_62641226的博客
07-08 279
黑龙江信息安全等级保护测试报告》(简称“等保测试报告”),是黑龙江地区按照有关信息安全等级保护的有关规范与要求,对其进行了安全性评价并编制的一份报告。4. 安全性评测成果:从物理安全网络安全、应用安全、数据安全以及管理安全等角度,对测评中存在的安全问题和缺陷进行了详尽的分析。5. 安全性风险评估:对所检测到的安全性问题进行风险评价,并对其可能产生的损害以及对该信息系统的影响程度进行分析。1.系统综述:对所要评价的信息系统进行了简单的介绍,包括系统的名称,功能,运行环境,网络体系结构等。
java中关于枚举的所有知识点
06-01
Java中的枚举类型是一种特殊的类,它可以用于定义一组常量。在Java中,枚举类型的定义方式比较简单,主要有以下几个知识点: 1. 枚举类型的定义:使用enum关键字定义枚举类型,枚举类型中的每个枚举常量都是该类型的一个实例。例如: ``` enum Color { RED, GREEN, BLUE } ``` 2. 枚举常量的使用:枚举常量可以直接使用枚举类型的名称进行限定,也可以使用枚举常量的名称进行限定。例如: ``` Color c1 = Color.RED; Color c2 = Color.valueOf("GREEN"); ``` 3. 枚举类型的方法:枚举类型可以定义方法,这些方法可以在枚举常量中进行调用。例如: ``` enum Color { RED, GREEN, BLUE; public void printValue() { System.out.println(this.name() + ": " + this.ordinal()); } } Color.RED.printValue(); // 输出:RED: 0 Color.GREEN.printValue(); // 输出:GREEN: 1 Color.BLUE.printValue(); // 输出:BLUE: 2 ``` 4. 枚举类型的属性:枚举类型可以定义属性,这些属性可以在枚举常量中进行调用。例如: ``` enum Color { RED("#FF0000"), GREEN("#00FF00"), BLUE("#0000FF"); private String value; Color(String value) { this.value = value; } public String getValue() { return value; } } String redValue = Color.RED.getValue(); // 输出:#FF0000 ``` 5. 枚举类型的实现接口:枚举类型可以实现接口,从而获得接口的所有方法。例如: ``` interface Printable { void print(); } enum Color implements Printable { RED, GREEN, BLUE; public void print() { System.out.println(this.name()); } } Color.RED.print(); // 输出:RED ``` 总之,枚举类型是Java中非常有用的一种类型,可以用于定义一组常量,提高程序的可读性和健壮性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值