认识分离免杀

最新推荐文章于 2024-04-15 10:53:19 发布
最新推荐文章于 2024-04-15 10:53:19 发布
阅读量87 收藏
点赞数
文章标签: 网络安全 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50217210/article/details/133852851
版权

分离免杀是将恶意代码放置在程序本身之外的一种加载方式。

从文件中加载shellcode

首先是最基本的,从raw格式文件中读取shellcode

raw bin文件二进制 payload 十六进制

raw采用文件读取的方式

c++文件流多复习复习

从web加载shellcode

远程加载

两种思路:一是从socket连接加载,客户端连接c2端口,返回shellcode

二是从http连接加载,访问c2的url返回shellcode

WinHttpOpen //初始化一个winhttp-session句柄,

WinHttpConnect //通过上述句柄连接到服务器,需要指定服务器ip和端口号

WinHttpOpenRequest //通过hconnect句柄创建一个hRequest句柄,用于发送数据与读取从服务器返回的数据。

WinHttpSendRequest // 发送请求

WinHttpReceiveResponse //发送请求成功则准备接收服务器的response

do
{
//(1) 获取返回数据的大小(以字节为单位)
    dwSize = 0;
    if (!WinHttpQueryDataAvailable(hRequest, &dwSize)) {
        cout << "Error:WinHttpQueryDataAvailable failed:" << GetLastError() << endl;
        break;
    }
    if (!dwSize)    break;  //数据大小为0                
    //(2) 根据返回数据的长度为buffer申请内存空间
    pszOutBuffer = new char[dwSize + 1];
    if (!pszOutBuffer) {
        cout << "Out of memory." << endl;
        break;
    }
    ZeroMemory(pszOutBuffer, dwSize + 1);       //将buffer置0
    //(3) 通过WinHttpReadData读取服务器的返回数据
    if (!WinHttpReadData(hRequest, pszOutBuffer, dwSize, &dwDownloaded)) {
        cout << "Error:WinHttpQueryDataAvailable failed:" << GetLastError() << endl;
    }
    if (!dwDownloaded)
        break;
} while (dwSize > 0);
//将返回数据转换成UTF8
DWORD dwNum = MultiByteToWideChar(CP_ACP, 0, pszOutBuffer, -1, NULL, 0);    //返回原始ASCII码的字符数目       
pwText = new wchar_t[dwNum];                                                //根据ASCII码的字符数分配UTF8的空间
MultiByteToWideChar(CP_UTF8, 0, pszOutBuffer, -1, pwText, dwNum);

云棋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1060
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
通过Python实现Payload分离免杀过程详解
09-16
主要介绍了通过Python实现Payload分离免杀过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
CobaltStrike木马免杀代码篇之python反序列化分离免杀(一)
xf555er的博客
11-21 1782
本篇文章主要用到python来对CobaltStrike生成的Shellcode进行分离免杀处理, 因此要求读者要有一定的python基础, 下面我会介绍pyhon反序列化免杀所需用到的相关函数和库
木马免杀代码之python反序列化分离免杀
最新发布
04-15 928
Cryptography是python语言中非常著名的加解密库,在算法层面提供了高层次的抽象,使用起来非常简单、直观,同时还保留了各种不同算法的低级别接口,保留灵活性我们知道加密一般分为对称加密(Symmetric Key Encryption)和非对称加密(Asymmetric Key Encryption)。各自对应多种不同的算法,每种算法又有不同的密钥位长要求,另外还涉及到不同的分组加密模式,以及末尾补齐方式。
教你怎样源码免杀
热门推荐
liujiayu2的专栏
09-14 1万+
源码免杀也离不开手动定位特征码,但是修改比较容易,灵活性也比较大,接下来就听危险漫步给各位慢慢的来分享分析。 一、如何查找特征码 查找特征码与代码的对应位置,是这篇文章首先需要了解的基础。为了方便我们查找,在编译的时候生成map文件,选择vc工程选项(project),在下拉菜单中选择设置(settings),或者你也可以按快捷键alt+f7;弹出工程设置对话框(project set
python反序列化-分离免杀1
08-03
在本文中,我们将深入探讨如何利用 Python 反序列化进行免杀技术,特别是“分离免杀”策略。 免杀技术的主要目标是让恶意代码避开安全软件的检测,从而在目标系统上成功执行。常见的免杀方法包括修改特征码、使用花...
第六十六课:借助aspx对payload进行分离免杀1
08-03
靶机背景:msf exploit(multi/handler) > set lhost 192.168.1.5msf exploit(multi/handler
第六十六课:借助aspx对payload进行分离免杀.docx
09-15
第六十六课:借助aspx对payload进行分离免杀.docx
payload分离免杀思路(第四十七课).docx
09-15
payload分离免杀思路(第四十七课).docx
payload分离免杀思路第二季(第四十八课)1
08-03
介绍相关概念:Windows自Windows XP Media Center Edition开始默认安装NET Framework,直至目前的Windows 1
payload分离免杀思路第二季(第四十八课).docx
09-15
payload分离免杀思路第二季(第四十八课).docx
免费SWF资源分离软件
08-02
"免费SWF资源分离软件"是一种工具,旨在帮助用户提取并分离SWF文件中的各种元素,如图像、音频、视频、文本以及动作脚本等,以便进行编辑、重用或分析。 SWF文件结构复杂,包含多种资源,通过这样的分离软件,用户...
solidworks图号分离.swp
09-18
solidworks 单个零件或者单个装配体 图号分离宏程序
springboot+mysql读写分离
07-29
springboot结合mysql主从来实现读写分离 一、实现的功能 1、基于springboot框架,application.yml配置多个数据源,使用AOP以及AbstractRootingDataSource、ThreadLocal来实现多数据源切换,以实现读写分离。mysql...
PDF黑白彩色页面分离软件
02-08
PDF黑白彩色页面分离软件,软件具有多项调整参数共功能,通过参数可以根据需求分离pdf文件,在双面打印时可以把同一张纸上打印的黑白页面也分离到彩色页面里面,方便打印,如果彩色页面比较分散打印完后为了更容易...
MySQL读写分离技术
02-25
阅读目录1、简介2、基本环境3、配置主从复制4、MySQL读写分离配置4.1、安装lua4.2、安装mysql-proxy5、MySQL读写分离测试1)、修改rw-splitting...分布式数据库、负载均衡、读写分离、增加缓存服务器等等。这里我们将采
免杀的反汇编工具
11-10
在IT安全领域,免杀技术是一种重要的策略,用于绕过杀毒软件的检测,以便让程序在不被发现的情况下执行。这里的"免杀的反汇编工具"是一种专门用于分析和理解二进制代码的软件,它可以帮助程序员或逆向工程师深入到...
常用场景人声伴奏分离程序
02-28
人声伴奏分离人声伴奏分离人声伴奏分离人声伴奏分离人声伴奏分离人声伴奏分离人声伴奏分离人声伴奏分离人声伴奏分离人声伴奏分离人声伴奏分离人声伴奏分离人声伴奏分离人声伴奏分离人声伴奏分离人声伴奏分离人声伴奏...
python 免杀
09-11
Python免杀是指在编写Python恶意代码时,通过一系列技术手段绕过杀毒软件的检测和阻止。在进行Python免杀时,可以采取多种常用的静态免杀技术,如特征码定位修改、填充花指令、文件加壳、内存执行、shellcode混淆、shellcode和loader分离、木马资源修改和调用系统白名单等。这些技术可以帮助我们在编写Python恶意代码时避免被杀毒软件检测到。 其中,特征码定位修改是指通过修改代码中的特征码或者特征码的位置,使得杀毒软件无法识别恶意代码。填充花指令是在代码中插入一些无实际功能的指令,以混淆代码结构,增加杀毒软件的分析难度。文件加壳是将恶意代码嵌入到其他可信的文件中,以绕过杀毒软件的检测。内存执行是将恶意代码直接加载到内存中执行,避免了被杀毒软件静态检测的可能。shellcode混淆是通过对shellcode进行变形或加密,使其难以被杀毒软件识别。shellcode和loader分离是将shellcode和加载器分离,使得杀毒软件难以检测到完整的恶意代码。木马资源修改是通过修改恶意代码所依赖的资源文件或者库文件,绕过杀毒软件的检测。调用系统白名单是指利用操作系统的合法功能或者系统自带的程序来执行恶意代码,使其被认为是正常行为而不被杀毒软件拦截。 需要注意的是,不同语言的shellcode和loader在免杀效果上有所差异,而Python在免杀中的效果相对较好。此外,选择小众语言和不同的exe打包器也可以提高免杀效果。同时,在编写Python恶意代码时,尽量避免使用敏感词汇,以降低被杀毒软件查杀的概率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值