免杀专题(一)shellcode原理

最新推荐文章于 2024-08-02 11:09:00 发布
最新推荐文章于 2024-08-02 11:09:00 发布
阅读量3.8k 收藏 5
点赞数 1
分类专栏: 网络安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47224111/article/details/122227783
版权

免杀专题(一)shellcode原理

基本概念

一段16进制的机器码,可在暂存器eip溢出后,塞入一段可让cpu执行的shellcode机器码,让电脑可以执行攻击者的任意指令。

原理

因为shellcode一般为一段汇编代码,不依赖任何编译环境,也不能像编写代码一样,调用api函数名称来实现功能。它通过主动查找dll基址并动态获取api地址的方式来实现api调用。

在这里插入图片描述

Kernel32.dll控制着系统的内存管理、数据的输入输出操作和中断处理。

shellcode分为两个模块,基本模块和功能模块

基本模块

用于实现shellcode初始运行、获取kernel32基址和获取api地址的过程。

获取kernel32基址

常见方法有暴力搜索、异常处理链表搜索和TEB搜索。

这里说一下TEB搜索

在这里插入图片描述

原理

在NT内核系统中, fs 寄存器指向TEB结构, TEB+0x30偏移处指向PEB ( Process EnvironmentBlock )结构,PEB+0x0c偏移处指向PEB LDR DATA结构, PEB LDR_ DATA+0xlc 偏移处存放着程序加载的动态链接库地址,第1个指向Ndl.dII, 第2个就是Kerel32.dl的基地址。

_asm
	{
		MOV EAX, DWORD PTR FS : [0x30]  ; 获取PEB基址
		MOV EAX, DWORD PTR DS : [EAX + 0xC] ; 获取PEB_LDR_DATA结构指针
		MOV ESI, DWORD PTR DS : [EAX + 0x1C] ; 获取InInitializationOrderModuleList成员指针
		LODS DWORD PTR DS : [ESI] ; 把ESI地址里的值给EAX,同时ESI自己加4,相当于获取下一个节点
		MOV EBX, DWORD PTR DS : [EAX + 8] ; 取其基地址,该结构当前包含的是kernel32.dll
		MOV dwKernelBase, EBX
	}

从Windows Vista 开始,程序中DLL基址的加载顺序发生了变化,在固定的位置已经不能得到正确的Kernel32 基址了,因此,需要在列表中对各DLL模块的名称加以判断,才能得到正确的Kernel32基址。

_asm
	{
		mov eax, DWORD PTR FS:[0x30]   ;+0x030 ProcessEnvironmentBlock : Ptr32 _PEB*
		mov eax, DWORD PTR DS:[eax + 0x0c];   +0x00c Ldr              : Ptr32_PEB_LDR_DATA *
		mov eax, DWORD PTR DS:[eax + 0x1c];  +0x01c InInitializationOrderModuleList : _LIST_ENTRY
		mov pBEG, eax ;pBEG自己定义的PVOID
		mov eax, [eax];地址里的值指向下一个
		mov pPLD, eax ;pPLD自己定义的PVOID
	}
;遍历找到kernel32.
最低0.47元/天 解锁文章
hedianshui888
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
30.远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀率10-69)1
08-03
远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀率10-69)1】 在网络安全领域,绕过反病毒软件(AV)的检测,即“免杀”技术,是一项重要的技能。本文将探讨如何利用Python来加载和执行shellcode,同时尽...
免杀专题(五)基于ipv6的shellcode加载(python)
weixin_47224111的博客
12-30 1166
免杀专题(五)基于ipv6的shellcode加载(python) 与上一篇的原理其实类似,在开发手册里还有很多功能差不多的api,也能将二进制写入内存。 比如 Ip2string.h 里的 RtlEthernetStringToAddressA、RtlIpv4StringToAddressA、RtlIpv6StringToAddressA 等等 这次来使用RtlIpv6StringToAddressA 进行shellcode加载 与之对应的还有 RtlIpv6AddressToStringA ipv6 I
Shellcode详解
N阶二进制的博客
06-18 1593
Shellcode是一种小巧、紧凑的机器代码,通常用于利用软件漏洞或注入攻击中。其名称来源于早期的黑客技术,其中的代码通常会启动一个命令行shell(如Bash或cmd),因此称为“shellcode”。不过,现在shellcode不仅仅用于启动shell,还可以执行各种恶意活动,如下载并执行恶意软件、修改系统设置等。
远控免杀专题(24)-CACTUSTORCH免杀
qq_41683305的博客
03-29 1192
转载:https://mp.weixin.qq.com/s/g0CYvFMsrV7bHIfTnSUJBw 免杀能力一览表 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所...
远控免杀专题1---基础篇
qq_41683305的博客
03-09 867
0x01 免杀概念 免杀,也就是反病毒与反间谍的对立面,英文为Anti-AntiVirus(简写 Virus AV),逐字翻译就是反-反病毒,翻译为反病毒技术。 0x02 杀毒软件检测方法 1、扫描结束 扫描压缩包技术:即是对压缩包案和封装文件做分析检查的技术 程序窜改技术:即是避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑 修复技术:即是对恶意程序所损坏的文件进行还原 急救盘杀毒:利用空白U盘...
远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69)
Ms08067安全实验室
04-27 924
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!本专题文章导航1.远控免杀专题(1)-基础篇:https:/...
远控免杀专题11-Avoidz免杀
qq_41683305的博客
03-16 291
0x01 免杀能力一查表 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(202...
远控免杀从入门到实践 (11) 终结篇
weixin_46236101的博客
03-13 1323
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实践
远控免杀专题 13----zirikatu免杀
qq_41683305的博客
03-27 696
0x01 免杀能力一览表 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(202...
远控免杀专题(18)-ASWCrypter免杀
qq_41683305的博客
03-27 401
免杀能力一览表 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01....
免杀的N种姿势-基础篇
m0_51268003的博客
03-31 2179
免杀概念 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。、 杀毒软件检测方式 扫描技术 1、扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。 2、程序窜改防护:即是避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑。 3、修复技术:即是对恶意程序所损坏的文件进行还原 4、急救盘杀毒:利用空白U盘制作急救启动盘,来检测电脑病毒。 5、智能扫描:
65.远控免杀专题(65)-shellcode免杀实践1
08-03
【网络安全与Web安全专题——免杀技术解析】 在网络安全领域,免杀技术是黑客和安全研究人员用来规避反病毒软件检测的重要手段。本文主要探讨的是如何通过不同的方法实现shellcode(一段可以直接由CPU执行的机器码...
最新免杀360,基于shellcode字符混淆
06-22
### 最新免杀360,基于Shellcode字符混淆 #### 概述 本文将详细介绍如何利用Shellcode的字符混淆技术来实现恶意代码对反病毒软件的规避,特别是针对360安全卫士等主流安全解决方案。Shellcode作为一种小巧且功能...
JsLoader:js免杀shellcode,绕过杀毒添加自启
05-05
【JsLoader:js免杀shellcode,绕过杀毒添加自启】 JsLoader是一种恶意软件技术,它利用JavaScript代码来加载和执行恶意payload,目的是在用户计算机上绕过反病毒软件的检测并实现持久化。JavaScript由于其普遍存在...
32.远控免杀专题(32)-Go加载shellcode免杀-3种方式(VT免杀率7-70)1
08-03
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载: ht
【论文速读】| 在安全运营中心使用大语言模型来实现威胁情报分析工作流程的自动化
m0_73736695的博客
08-02 797
本文提出了一种利用大语言模型(LLMs,如GPT-4)的AI智能体,以自动化处理CTI报告中的重复性任务。
笔记222222222222222222222222222222
最新发布
08-04
笔记222222222222222222222222222222
仿拉钩App小程序.rar
08-04
小程序的设计源码通常包含多个文件和文件夹,组织结构清晰,以便开发者能够快速上手并进行定制化开发。主要文件和文件夹包括: 页面文件夹:存放小程序的各个页面,每个页面通常由.wxml、.wxss、.js和.json文件组成。WXML文件负责页面的结构,类似于HTML;WXSS文件负责样式,类似于CSS;JS文件负责页面的逻辑和交互;JSON文件用于页面的配置,如导航栏标题等。 组件文件夹:存放可复用的UI组件。组件与页面类似,也由.wxml、.wxss、.js和.json文件组成。通过组件化设计,可以提高代码的复用性和维护性,减少重复工作。 静态资源文件夹:存放图片、音频、视频等静态资源,便于在小程序中引用。这些资源通常放在一个名为assets或static的文件夹中。 配置文件:小程序的根目录下通常有一个app.json文件,用于全局配置,如页面路径、导航栏样式、底部Tab栏等。此外,还有app.wxss和app.js文件,分别用于全局样式和全局逻辑。 工具文件夹:存放一些工具函数和库文件,便于在小程序中调用。这些文件通常放在一个名为utils的文件夹中。
"Shellcode免杀实战:远控免杀专题(65)
本篇文章是关于远控免杀专题的第65篇,讲述了shellcode免杀的实践。作者为Tide安全团队的成员雨夜RainyNight。文章中提到的技术、思路和工具仅供安全学习交流使用,禁止用于非法和盈利目的,违者后果自负。Tide安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值