Shhhloader:一款强大的Shellcode加载器

最新推荐文章于 2024-11-12 19:55:20 发布
最新推荐文章于 2024-11-12 19:55:20 发布
阅读量830 收藏 25
点赞数 26
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_01050/article/details/142474455

Shhhloader:一款强大的Shellcode加载器

Shhhloader Syscall Shellcode Loader (Work in Progress) Shhhloader 项目地址: https://gitcode.com/gh_mirrors/sh/Shhhloader

项目介绍

Shhhloader 是一款正在开发中的Shellcode加载器,旨在通过编译C++存根来绕过防病毒软件(AV)和端点检测与响应(EDR)系统。它接受原始Shellcode作为输入,并生成一个C++存根,该存根通过多种技术来尝试绕过AV/EDR的检测。Shhhloader的Python构建器可以在任何安装了Mingw-w64的Linux系统上运行。

最新更新中,Shhhloader增加了对Havoc C2的支持,并改进了默认的沙箱规避方法,使其效果更佳。此外,Shhhloader还包含一个用于Cobalt Strike的Aggressor脚本,方便用户在红队操作中使用。

项目技术分析

Shhhloader的核心技术包括:

  1. 多种Shellcode执行方法:支持8种不同的Shellcode执行方法,如ThreadlessInject、ModuleStomping、QueueUserAPC等,每种方法都有其独特的绕过检测机制。
  2. PPID欺骗:通过PPID欺骗技术,可以伪装成其他进程的子进程,从而绕过某些检测机制。
  3. NTDLL解钩:通过解钩NTDLL,可以绕过某些基于钩子的检测机制。
  4. SysWhispers支持:集成了SysWhispers2和SysWhispers3,支持直接调用系统调用,绕过API钩子。
  5. 编译时字符串加密:在编译时对字符串进行加密,增加静态分析的难度。
  6. Obfuscator-LLVM支持:通过Obfuscator-LLVM对生成的存根进行混淆,进一步增加逆向工程的难度。
  7. 沙箱规避:支持多种沙箱规避技术,如通过加载的DLL、域名、用户名、主机名等进行检测,避免在沙箱环境中执行。

项目及技术应用场景

Shhhloader适用于以下场景:

  1. 红队渗透测试:在红队渗透测试中,Shhhloader可以帮助红队成员绕过目标系统的安全防护,执行恶意代码而不被检测。
  2. 恶意软件开发:恶意软件开发者可以使用Shhhloader生成难以检测的Shellcode加载器,提高恶意软件的生存能力。
  3. 安全研究:安全研究人员可以使用Shhhloader进行实验,研究各种绕过AV/EDR的技术,提升对现代安全防护机制的理解。

项目特点

Shhhloader的主要特点包括:

  1. 高度可定制:用户可以根据需要选择不同的Shellcode执行方法、沙箱规避技术等,灵活应对不同的安全环境。
  2. 强大的绕过能力:通过多种技术手段,Shhhloader能够有效绕过大多数常见的AV/EDR检测机制。
  3. 易于使用:Shhhloader提供了Python构建器,用户只需简单配置即可生成所需的Shellcode加载器。
  4. 持续更新:项目正在积极开发中,未来将增加更多功能和改进现有功能,如硬件断点(HWBP)系统调用选项、使用系统调用创建进程等。

结语

Shhhloader作为一款功能强大的Shellcode加载器,不仅提供了多种绕过AV/EDR的技术手段,还具有高度的可定制性和易用性。无论是红队渗透测试、恶意软件开发还是安全研究,Shhhloader都能为用户提供强有力的支持。如果你正在寻找一款能够有效绕过现代安全防护机制的工具,Shhhloader绝对值得一试。

Shhhloader Syscall Shellcode Loader (Work in Progress) Shhhloader 项目地址: https://gitcode.com/gh_mirrors/sh/Shhhloader

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

【护网必备】Windows平台shellcode免杀加载器
Fly_鹏程万里
06-14 828
bypass:McAfee、金山(数字签名)、火绒、ESET、卡巴企业版(时间5s 抖动50 Sleep_mask)、360全家桶(物理机)、Norton(加白程序资源)、WDF(PC)、WDF(Server)、Symantec(加白程序资源)bypass:金山(数字签名)、火绒、ESET、360全家桶(物理机)、WDF(PC)、WDF(服务器提示复查(关云保护))、McAfee、Norton(加白程序资源)、卡巴企业版(时间5s 抖动50 Sleep_mask)必须使用Bof操作,shell运行就掉线。
ShellLoader:轻量级的插件加载器,仅通过控制台进行通信
03-19
ShellLoader 轻量级的插件加载器,仅通过控制台进行通信
探秘Shhhloader:一个高效、安全的数据加载库
gitblog_00043的博客
04-25 434
探秘Shhhloader:一个高效、安全的数据加载库 Shhhloader Syscall Shellcode Loader (Work in Progress) 项目地址: https://gitcode.com/gh_mirrors/sh/Shhhloader...
c++shellcode加载器
qq_44657899的博客
05-26 4117
文章目录VirtualAlloc申请内存堆 VirtualAlloc申请内存 #include <windows.h> #include <iostream> #include <time.h> #pragma comment (lib, "winmm.lib") #pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") void startShellCode() { unsi
Shhhloader 使用教程
gitblog_01162的博客
09-24 671
Shhhloader 使用教程 Shhhloader Syscall Shellcode Loader (Work in Progress) 项目地址: https://gitcode.com/gh_mirrors/sh/Shhh...
推荐开源项目:ShellcodeLoader - 高级安全工具,让您的shellcode隐形飞行
gitblog_00065的博客
05-21 406
推荐开源项目:ShellcodeLoader - 高级安全工具,让您的shellcode隐形飞行 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 ShellcodeLoader是一款创新性的开源项目,它采用先进的加密技术和反沙箱策略,使得shellcode(一种在操作系统内存中执行的机器码)能在复杂的环境中隐秘运行。通过RSA加密shellcode并动态编译成可执行文件...
Shellcode Memory Loader:一款强大的二进制代码执行工具
gitblog_00011的博客
03-28 548
Shellcode Memory Loader:一款强大的二进制代码执行工具 去发现同类优质开源项目:https://gitcode.com/ 是一款开源工具,旨在简化Windows平台上的Shellcode加载和执行过程。 项目简介 Shellcode_Memory_Loader是由crisprss开发的一个C++项目,其主要目的是为用户提供一个简洁、易用的框架,以便于在Windows环境下动态...
shellcode加载器
goat_2003的博客
09-10 1744
编写shellcode不能使用绝对地址,因为当我们加载到其他函数中时绝对地址储存的可能什么也没有,甚至是其他函数,所以当我们需要调用一个函数时,需要动态获取函数的地址实现调用。 想要动态获取函数地址,可以使用以下函数 GetProcAddress 从dll中获取函数的地址 LoadLibraryA 将指定的模块加载到调用进程的地址空间中 举个例子: LPVOID lp = GetProcAddress(LoadLibraryA("user32.dll"),"MessageBoxA"); _asm {
探索安全新边界:ShellcodeLoader - 超越反病毒的Windows Shellcode加载器
gitblog_00049的博客
05-13 378
探索安全新边界:ShellcodeLoader - 超越反病毒的Windows Shellcode加载器 去发现同类优质开源项目:https://gitcode.com/ ShellcodeLoader是一款专为Windows平台设计的开源工具,旨在绕过传统的反病毒软件(AV),并提供了多种加载模式和可扩展性,让恶意代码编写者能够开发出更隐蔽、更难以检测的payload。 项目简介 Shellco...
强大的内核Shellcode加载器:Kernel Shellcode Loader
gitblog_00073的博客
03-14 532
强大的内核Shellcode加载器:Kernel Shellcode Loader flare-kscldr FLARE Kernel Shellcode Loader 项目地址: https://gitcode.com/gh_mirrors/fl/flare-k...
shell-loader:Webpack加载器,在匹配文件上运行任意脚本
05-28
装壳机 一个加载器,用于在加载文件时运行任意的shell脚本。 安装 npm install --save-dev shell-loader 用法 将shell-loader添加到Webpack配置对象中,将options.script设置为要在每个文件上运行的shell脚本。 例子; module: { rules : [ { test : / . * \. css $ / , use : [ 'css-loader' , { loader : 'shell-loader' , options : { script : 'postcss --use autoprefixer' } } ] } ] }
28.远控免杀专题(28)-C、C++加载shellcode免杀(下)(VT免杀率3-71)1
08-03
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载: ht
免杀之浅谈shellcode加载器
qq_46217803的博客
12-26 1983
VirtualAlloc:申请一个虚拟地址的空间,可以说为虚拟空间到物理空间的映射,简单来说,在虚拟空间操作,物理空间就会自动的分配物理地址。可以直接在内存中运行,不需要一个完整的pe结构,简单来说,内存能执行就能运行,没有啥依赖的“生存环境”设置一个指针类型的,也可以是别的,这里设置成NULL,这样系统会自动的去分配一个空间区域。就是一个类型属性,主要是内存分配的类型属性,可以去百度的,这里设置了两个值,去了解一下。还是以上的shellcode,本地生成的,用的是Visual Studio。
[免杀]基于python的shellcode&loader原理研究
3tefanie丶zhou的博客
03-30 4807
【此身原本不知愁,最怕万一见温柔】
多种基础Shellcode加载器
Liyu_6618的博客
02-02 883
多种编程语言Shellcode的模板
免杀-Shellcode分离隐藏&C++
qq_45087791的博客
02-27 2869
Shellcode分离隐藏-让杀毒找不到。离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的ShellCode通过分块传输的方法上传然后再拼接,这些体现了基本的"分离"思想。
0基础写shellcode加载器
最新发布
qq_60870726的博客
11-12 1805
从0开始了解shellcode加载器
【免杀工具】Windows通用免杀shellcode加载器
Fly_鹏程万里
06-11 1648
本工具由ShellQMaker.exe和加载模板文件(loading.exe)组成。ShellQMaker.exe将不同的shellcode写入加载的模板文件(loading.exe)中,生成不同的可执行文件。运行环境:加载器模板通过QT实现使用C++开发,并由VS2022静态编译,目前只有一种加载模式,其他加载模式正在开发中。使用方法:使用vs2022打开项目解决方案(.sln),然后进行编译即可,当然你也可以从。ShellQMaker (你的shellcode) (生成的可执行文件)
Shellcode免杀对抗(C/C++)
热门推荐
qq_74806534的博客
02-17 2万+
这里便是杀毒软件杀毒的原理,这就是特征,我们只需要将木马程序进行简单的分析,就能得到shell回连的IP地址和端口,如果杀毒软件发现我们的可执行文件是一个木马程序。加载器的作用:由于shellcode是一段可以执行的二进制代码,因此需要开辟出一段可以读写可操作的地址来运行shellcode,而这就是加载器的作用。之后打开.c文件是一个未编译代码,放到上文的编译代码中,注意这里是x64编译,用的方式三,使用.c文件。因为我们的加载器的特征,各平台杀毒软件都有了已经,所有我们就要用新的,特征没有被锁定。
探索隐蔽与安全:laZzzy —— 隐藏的Shellcode加载器
gitblog_00064的博客
05-22 489
探索隐蔽与安全:laZzzy —— 隐藏的Shellcode加载器 laZzzylaZzzy is a shellcode loader, developed using different open-source libraries, that demonstrates different execution techniques.项目地址:https://gitcode.com/gh_mir...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柏克栋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值