beacon.dll样本的ReflectiveLoader(x)函数

最新推荐文章于 2023-11-09 11:40:04 发布
最新推荐文章于 2023-11-09 11:40:04 发布
阅读量1.4k 收藏
点赞数 1
分类专栏: 恶意代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/singleyellow/article/details/86777391
版权

上次文章中shellcode解密出的pe文件,拖到PEView中又看了一遍,发现有导出表,只导出了一个函数,名字就叫_ReflectiveLoader@4,不是ida神奇,而是作者就是这样写的,这个样本的名字也应该叫做beacon.dll。如图:

至于为什么按Ctrl+E,除了入口点函数和tls回调函数,导出函数也会显示?ida就是这么认为的,它认为导出函数也是入口点,

不信的话找到一个系统dll文件,按Ctrl+E,会发现所有的导出函数都会显示。

 

整个探索过程中发现另外一个问题:

通常情况:exe文件有start( )函数,并有start调用main( )函数

                  dll文件有DllEntryPoint( )函数,再调用DllMain( )函数

特殊情况:见过只有start( )函数,没有main( )函数的exe程序;还有Windows XP自带的kernell32.dll中只有DllEntryPoint( )函数,没有DllMain( )函数。

 

DllMain函数原型:

#include <stdio.h>
#include <Windows.h>

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpReserved)
{
	switch(dwReason)
	{
		case DLL_PROCESS_ATTACH:
		// 添加代码
		break;

		case DLL_THREAD_ATTACH:
		// 添加代码
		break;

		case DLL_THREAD_DETACH:
		// 添加代码
		break;

		case DLL_PROCESS_DETACH:
		// 添加代码
		break;	
	}

	return TRUE;
}

在WinNT.h中有对应宏的定义:

#define DLL_PROCESS_ATTACH   1    
#define DLL_THREAD_ATTACH    2    
#define DLL_THREAD_DETACH    3    
#define DLL_PROCESS_DETACH   0

在shellcode样本中,分别3次调用DllEntryPoint函数,传进去的dwReason分别是1、4、5:其中dwReason=1,很快执行完,没有出现恶意行为;dwReason=4时,表现出了恶意行为。

拜乔布斯
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CobaltStrike(beacon.dll)功能赏析
yellow的博客
10-18 640
老版本CobaltStrike(beacon.dll)功能分析
CobaltStrike(beacon.dll)样本.zip
10-18
老版本的CobaltStrike样本,C2已经失去活性。
浅谈CobaltStrike UDRL的实现与混淆
最新发布
xf555er的博客
11-09 520
在Profile配置中,Stage块的某些选项允许用户修改明显的PE文件特征,比如magic_mz,它允许用户自定义4个字节的MZ头,但是当UDRL应用后此功能将不再支持,不过我们可以使用Aggressor脚本去实现此功能,甚至比magic_mz功能更加强大首先在UDRL中,我们先自定义PE Header结构,在此结构中,我们仅存放PE头结构和节表结构等有效信息。在aggressor脚本中,为了对接上述我们自定义的PE Header,我们可以使用pedump。
WEB安全:深入反射式dll注入技术
2301_76694151的博客
05-16 739
通过调用CreateRemoteThread()/NtCreateThread()/RtlCreateUserThread()函数在被注入进程创建线程进行dll注入。通过调用QueueUserAPC()/SetThreadContext()函数来劫持被注入进程已存在的线程加载dll。通过调用SetWindowsHookEx()函数来设置拦截事件,在发生对应的事件时,被注入进程执行拦截事件函数加载dll。获取被注入进程PID。在注入进程的访问令牌中开启SE_DEBUG_NAME权限。
深入理解反射式dll注入技术
m0_67698950的博客
06-22 1143
前言dll 注入技术是让某个进程主动加载指定的 dll 的技术。恶意软件为了提高隐蔽性,通常会使用 dll 注入技术将自身的恶意代码以 dll 的形式注入高可信进程。常规的 dll 注入技术使用 LoadLibraryA() 函数来使被注入进程加载指定的 dll。常规dll注入的方式一个致命的缺陷是需要恶意的 dll 以文件的形式存储在受害者主机上。这样使得常规 dll 注入技术在受害者主机上留下痕迹较大,很容易被 edr 等安全产品检测到。为了弥补这个缺陷,stephen fewer 提出了反射式 dll
ReflectiveLoader分析(远程线程注入 PE修正)
weixin_33752045的博客
10-26 572
从github上下载了ReflectiverLoader认真学习了一下 在代码中得到一些心得和自己的想法,都按步骤写到了代码中,现在分享给大家,如有错,望大家指正 其中需要注入的dll和解析,内存RVA与文件RVA的转换代码(汇编与c++的都有)和解析,shellcode的汇编附到链接 一.这是用到的shellocode 作用:经调试得出他是为了解决x86下运行x64 的问题(...
beacon.rar_802.11 beacon_BeaconFrame_IEEE 802.11_beacon_beacon f
07-14
IEEE 802.11 WLAN - Beacon Frame
common-beacon.rar_tsf_tu
09-21
Calculate the modulo of a 64 bit TSF snapshot with a TU divisor.
ga4gh-beacon.github.io:ELIXIR Beacon网站-GA4GH驱动程序项目
05-12
可以通过访问ELIXIR Beacon项目的主要信息站点,即该存储库的格式化内容。 有关该项目的更多信息,您也可以相应的。 网站技术 该网站是使用Github为Jekyll构建系统提供的支持从该存储库构建的,结合了HTML和...
Arduino-si5351-beacon.zip
09-18
Arduino-si5351-beacon.zip,基于Arduino Si5351的WSPR信标多模信标基于Arduino Si5351模块。,Arduino是一家开源软硬件公司和制造商社区。Arduino始于21世纪初,深受电子制造商的欢迎,Arduino通过开源系统提供了很多...
【ReflectDllInjection】 反射型DLL注入
dr0op's blog
04-06 2999
常规dll注入 这里引用一张图来表示: 反射型DLL注入思路: 读入原始DLL文件至内存缓冲区 解析DLL标头并获取SizeOfImage 将DLL标头和PE节复制到步骤3中分配的内存空间 执行重定位 加载DLL导入的库 解析导入地址表(IAT) 调用DLLDLL_PROCESS_ATTACH 反射型dll注入与其他dll注入不同的是,其不需要使用LoadLibrary这一函数,而是自己来实现整个装载过程。我们可以为待注入的DLL添加一个导出函数,ReflectiveLoader,这个函数的功能就是
CobaltStrike(beacon.dll)样本赏析
yellow的博客
02-08 1988
CobaltStrike样本特点赏析
CobaltStrike逆向学习系列(4):Beacon 上线协议分析
无心的博客
01-14 365
这是[信安成长计划]的第 4 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 发送 0x02 TeamServer 处理 0x03 流程图 0x04 参考文章 在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也清楚了它执行时的调用顺序,Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。 因为主要说明的是上线流程,功能性的暂且不提,但是中间会穿插 C2Profile 的读取操作。 0x01
Cobaltstrike系列教程(三)beacon详解
J0o1ey Blog
08-01 1万+
0x000–前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 0x001-Beacon详解 1.Beacon命令 大家通过系列教程(二)的学习,配置好Listner,让目标机执行我们的Payload/后门程序后,即可发现目标机已经上线 右键目标interact来使用Beacon,我们用它来执行各种命令 ※在Cobalt Stri...
Cobalt Strike的使用
浅笑996的博客
11-15 1万+
0x00  Cobalt Strike简介       Cobalt Strike 一款以metasploit为基础的GUI的框架式渗透测试工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。而Cobalt...
【调试笔记】Cobalt Strike - Beacon信标快速分析
JiangBuLiu的博客
08-04 1602
流程为:宏代码释放的dll→exe加载的.dll(常见的白加黑)→解密ShellCode2的ShellCode1→ShellCode2→下载文件到本地 宏代码释放Dll1,并执行其导出函数 Dll1有80+MB没法跟: 宏代码执行Dll1的导出函数后,通过动态可以看到,最后会释放白加黑的exe和dll,所以基本不跟。 白加黑的Dll2 执行后通过VirtualAlloc申请一段内存空间,然后写入将要执行的ShellCode1。 首先在VirtualAlloc下断点,bp VirtualAlloc: 然后
malleable profile利用实践--------对Zeus.profile文件的利用测试
热门推荐
Shanfenglan's blog
10-09 14万+
CATALOG前言Zeus.profile文件解读开始测试第一步:发送元数据任务发布任务回显结语 前言 讲了malleable_profile后,我们使用Zeus.profile进行测试看看实际效果,下述为CS的通信过程。 1.stager的beacon会先下载完整的payload执行,stage则省略这一步 2.beacon进入睡眠状态,结束睡眠状态后用 http-get方式 发送一个metadata(具体发送细节可以在malleable_profie文件里的http-get模块进行自定义),metad
com.alibaba.sdk.android.beacon.beacon
07-30
com.alibaba.sdk.android.beacon.beacon是阿里巴巴移动端SDK中的一个模块,主要用于处理与Beacon(信标)相关的功能和数据。 Beacon,也称为蓝牙低功耗信标,是一种无线传输技术,常常被用于室内定位、导航和区域...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拜乔布斯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值