调用 dll 侵权_ShellCode免杀框架内附SysWhispers2_x86直接系统调用

最新推荐文章于 2025-04-09 10:01:00 发布
原创 最新推荐文章于 2025-04-09 10:01:00 发布 · 928 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#调用 dll 侵权

本文介绍了ShellCode框架的使用,包括生成、加密、函数哈希计算和加载执行过程,强调了在32位和64位系统上的0环进入技术。此外,还提到了SysWhispers2_x86项目,用于获取系统调用号。该技术可有效绕过杀软检测,实现免杀。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本帖最后由 mai1zhi2 于 2021-1-28 12:27 编辑

文章来自:https://www.52pojie.cn/thread-1360548-1-1.html

如有侵权,请联系删除

1、概述

之前分析CS4的stage时,有老哥让我写下CS免杀上线方面知识,遂介绍之前所写shellcode框架,该框架的shellcode执行部分利用系统特性和直接系统调用(Direct System Call)执行,得以免杀主流杀软(火绒、360全部产品、毒霸等),该方式也是主流绕过3环AV、EDR、沙箱的常用手段。Ps:感谢邪八Moriarty的分享课。2、简要介绍
该框架主要由四个项目组成:GenerateShellCode:负责生成相关功能的shellcode。EncryptShellCode:负责以AES128加密所将执行的shellcode。FunctionHash:负责计算shell中所用到函数的hash值。XShellCodeLoader:负责执行加密后的shellcode。

2.1 GenerateShellCode
以简单弹窗messagebox生成的shellcode作介绍,定义的入口函数MyEntry(),先定义了GetProcAddr()、LoadLibaryA()和MessageBoxA()三个函数对应的hash,然后通过MyGetProcAddress()传入hash值和kernel32基址返回相关函数地址再进行调用

923b5b57f8c02a1c1d992ea75c6c525a.png自定义函数入口需在项目属性->链接器->入口点中进行设置:e0e12fecc72cb50c158f875a5ddc195e.png通过GetKernel32Base()函数获得kernel32基址:6be3c9177126f1b417d32f996731e90f.png通过MyGetProcAddress()函数传入hash值找出对应的函数名,函数内容就是解析kernel32的导出表,遍历每个函数并计算出相应hash并与传入的hash作比较:41bf95ec7fc0e209c05b06ff04bc2555.pngGetProcHash()把函数名转为相应的hash:

最低0.47元/天 解锁文章

200万优质内容无限畅学
林书溪
关注
第10章 shellcode实战:18 神级开源shellcode工具:donut
李小咖·网安技术库
05-15 2028
Donut是一款shellcode生成器,可将C/C++、C#生成的PE文件转换为shellcode文件,同时支持JS、XSL、VBS脚本转换为shellcode。以下“原生”EXE/DLL指非托管PE文件(包括并不限于C/C++、delphie等编写生成的可执行文件),可以直接由系统加载运行,区别于.Net生成的托管文件。被处理exe/dll为32位程序,则需要用32为的shellcode加载器启用,exe/dll为64位的就用64位shellcode加载器启用。
红队培训第二章-使用系统调用http 协议下载恶意载荷
Gamma_lab的博客
03-12 3173
​ 这是红队培训的第二章,后续会继续推出红队培训的一些小tips,等后面把这系列更完了,大家把所有的技术点窜起来一起用,那就是乱,上一章说了如何避申请可执行内存块,执行shellcode,这一章将讲如何使用系统调用下载恶意载荷。 前言: ​ 从软的行为分析来看,就拿cs的通信协议来讲,stage 的载荷在行为上是明显比stageless载荷多很多的,其中不一些通信协议的特征,分析过的都知道,stage只是个前置载荷,后续会下更大的功能更全的载荷,因为之前做卡巴的时候就注意到
SysWhispers2_x86:X86版本的syswhispers2 x86直接系统调用
03-06
SysWhispers2_x86 SysWhispers2只支持x64,在此基础上作一点微小的工作,使用方法与注意要在vs x86模式编译生成,不要在x64模式。 由于syswhisper2仅支持x64,因此我们在此基础上做了一些工作,其使用方法与syswhisper2相同。 SysWhispers2_ x86_ Sysenter负责生成32位程序并在32位系统上运行,Syswhisper2_ x86_ Wow64gate负责生成32位程序并在64位系统上运行。 当心! 在vs x86模式下构建,而不在x64模式下构建。
SysWhispers2:通过直接系统调用进行AVEDR规避
03-08
SysWhispers2 SysWhispers通过生成植入程序可用来进行直接系统调用的标头/ ASM文件来帮助规避。 支持所有核心系统调用,并且在example-output/文件夹中提供了示例生成的文件。 SysWhispers 1和2之间的区别 用法与几乎相同,但是您不必指定要支持的Windows版本。 大部分更改都在后台进行。 它不再依赖的,而是使用流行的“ ”技术。 这显着减小了syscall存根的大小。 SysWhispers2中的特定实现是@modexpblog代码的变体。 一个区别是函数名称哈希在每一代中都是随机的。 ,谁曾这种技术早些时候,有另一个基于C ++ 17,这也是值得一试。 原始的SysWhispers存储库仍处于运行状态,但将来可能会弃用。 介绍 各种安全产品在用户模式API函数中放置了钩子,使它们可以将执行流重定向到其引擎并检测可疑行为。 进行系统
SysWhispers2 使用教程
gitblog_00815的博客
08-19 566
SysWhispers2 使用教程 项目介绍 SysWhispers2 是一个用于生成头文件和汇编文件的工具,这些文件可以被植入程序用于直接进行系统调用,从而实现对 AV/EDR(防病毒/终端检测和响应)的绕过。该项目支持所有核心系统调用,并且可以帮助研究人员在安全测试中更有效地进行系统级操作。 项目快速启动 安装 首先,克隆项目仓库到本地: git clone https://github.co...
探索SysWhispers2_x86:一个强大的Windows内核模块静默加载工具
gitblog_00066的博客
03-27 314
探索SysWhispers2_x86:一个强大的Windows内核模块静默加载工具 去发现同类优质开源项目:https://gitcode.com/ SysWhispers2_x86是一个开源项目,由开发者mai1zhi2创建,旨在帮助安全研究人员和系统工程师在x86架构的Windows系统中实现内核模块的无声加载。该项目利用了特定的技术策略,使得在不触发常规防御机制的情况下,能够悄悄地将自定义内...
UnModule_shellcode_Inject:无模块注入工程 VS2008
04-29
shellcode主代码中,按照内存对齐大小,将dll在内存中进行展开,修复导入表,修复重定位,根据导出表,寻找dll中函数的地址,调用指定dll的函数。 =====================UnModuelInject================ 使用生成...
shellcode加密
longwanlian的博客
08-04 810
先说结论,笔者没成功过360。
Win 7下定位kernel32.dll基址及shellcode编写1
08-03
在Windows操作系统中,尤其是Windows 7环境下,动态定位kernel32.dll的基地址对于编写兼容性强的shellcode或恶意软件至关重要。kernel32.dll是Windows系统的核心动态链接库,提供了许多与用户界面、进程和线程管理、...
cpp-ShellcodeStdio一个可扩展的框架用于轻松编写可调试编译器优化位置无关Windows平台的x86shellcode
08-16
ShellcodeStdio一个可扩展的框架,用于轻松编写可调试,编译器优化,位置无关,Windows平台的x86 shellcode
SysWhispers:通过直接系统调用规避AVEDR
05-30
系统私语 SysWhispers 通过生成植入程序可以用来进行直接系统调用的头文件/ASM 文件来帮助规避。 从Windows XP到Windows 10 1904220H2),都支持所有核心syscall。 在example-output/文件夹中可用的示例生成文件。 介绍 各种安全产品在用户模式 ​​API 中放置钩子,允许它们将执行流重定向到它们的引擎并检测可疑行为。 ntdll.dll中生成系统调用的函数仅包含一些汇编指令,因此在您自己的植入物中重新实现它们可以绕过这些安全产品挂钩的触发。 该技术由推广,他的有更多值得阅读的技术细节。 SysWhispers 为红队人员提供了为核心内核映像 ( ntoskrnl.exe ) 中的任何系统调用生成标头/ASM 对的能力,该功能适用​​于从 XP 开始的任何 Windows 版本。 标头还将包括必要的类型定义。 这与 POC 之
SysWhispers2:生成系统调用头的强大工具
最新发布
gitblog_01169的博客
04-09 594
SysWhispers2:生成系统调用头的强大工具 在网络安全领域,尤其是红队行动中,绕过安全产品检测的能力至关重要。SysWhispers2 是一款开源工具,可以帮助安全研究员和红队成员生成可以直接进行系统调用的头文件和汇编文件,从而有效绕过用户模式API函数中的钩子。 项目介绍 SysWhispers2 的核心功能是生成可以让植入物(implants)使用的头文件和汇编文件,这些文件允许植入物...
探秘SysWhispers2:无声无息的系统级调试利器
gitblog_00084的博客
03-25 538
探秘SysWhispers2:无声无息的系统级调试利器 SysWhispers2AV/EDR evasion via direct system calls.项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers2 项目简介 是一款由开发者 J. Thuraisamy 创建的开源工具,用于在没有源代码、调试器或内核模块的情况下,实现对Windows操...
一款框架 -- AniYa​
m0_60571990的博客
01-03 1101
一款框架 -- AniYa​
探索GolangBypassAV:高效安全的工具框架
gitblog_00095的博客
05-17 426
探索GolangBypassAV:高效安全的工具框架 项目介绍 GolangBypassAV 是一个专注于利用Go语言进行病毒扫描器绕过的开源项目。由安全专家打造,它提供了一套实用的方法和技巧,帮助开发者在面临安全性挑战时实现代码的功能。该项目不仅注重实用性,也鼓励学习和探索,使您能够在理解和掌握技术的基础上,轻松应对复杂的网络安全环境。 项目技术分析 GolangBypassAV的核...
一款轻松主流软的c2框架
Gamma_lab的博客
06-30 2841
前言 恕我直言,cs 无论是马或者源文件都被分析烂了,且 cs 的行为太明显了,必 须要大改特改才能满足现在的红蓝对抗,但是想大改谈何容易,所以最快的方 法是寻找一款新的 c2 框架,说白了,远控自己都能写一个出来,执行一些简单 操作还是可以的。 故事从现在开始 最佳有一款老外开发的猎鹰 c2 框架说是要在下周发布,看着很吊的样子,我们 拭目以待,今天要介绍的一款好玩的用 rust 语言开发的 c2 框架,是我无意间 逛 github 上面看到的,这里我记录一下此框架的使用:为啥我会选择这个框 架,因为它是
Golang-Gin 框架写的平台,内置分离、捆绑等多种BypassAV方式
qq_44005305的博客
01-31 504
第一个文件选择木马(木马.exe),第二个文件选择要捆绑的文件(如pdf等)点击生成目前火绒、360、卡巴斯基、def全过;先这样用,不能bypass了再说,更新频率看star数量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值