Nim之NimShellCodeLoader免杀学习(下)

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: Nim之NimShellCodeLoader免杀学习

4.2 Thread_Hiijack_Inject_Load


4.2.1 凯撒加密(上线失败)


虽然可以生成,但是无法执行上线操作。


4.2.2 3DES加密(cs上线成功)



4.2.3 免杀能力


此时Windows Defender免杀失败


4.3 APC_Ijnect_Load


4.3.1 凯撒加密(上线失败)


此时cs上线失败!


4.3.2 DES加密(上线失败)


生成成功,但是上线失败。


4.3.3. 免杀能力(pass)


pass


4.4 Early_Bird_APC_Injetc_Load


4.4.1凯撒加密


上线测试:


4.4.2 免杀能力测试


Windows Defender免杀测试:被杀


4.4.3 3DES加密


双击之后,上线成功:


4.4.4 免杀能力测试



4.5 Direct_Load


4.5.1凯撒加密


双击之后上线:


4.5.2 免杀能力测试


Windows Defender直接查杀


4.5.3 3DES加密


双击之后直接上线:


4.5.4 免杀能力测试


直接被杀


4.6 Thread_Pool_Wait


4.6.2 凯撒加密


双击之后直接上线:


4.6.3 免杀能力测试



4.6.4 3DES加密


双击之后即可上线:


4.6.4 免杀能力



4.7 Fiber_Load


4.7.1 凯撒加密


双击之后上线:


4.7.2 免杀能力



4.7.3 3DES加密


双击之后即可上线:


4.7.4 免杀能力



4.8 CertEnumSystemStore


4.8.1 凯撒加密



4.8.2 免杀能力



4.8.3 3DES加密


双击之后上线正常:


4.8.4 免杀能力


4.9 CertEnumSystemStoreLocation


4.9.1 凯撒加密


双击之后,上线正常:


4.9.2 免杀能力


4.9.3 3DES加密

双击之后,正常上线:

4.9. 4 免杀能力


4.10 CopyFile2


4.10.1 凯撒加密

4.10.2 免杀能力

4.10.3 3DES加密

4.10.4 免杀能力


5. 其他免杀方法


由于篇幅问题,我在这里将后续的所有方法都进行了整理,分别生成了凯撒加密3des加密之后的文件,并且直接使用Windows Defender进行扫描杀毒,如果有免杀Windows Defender的文件,再进行其上线功能测试。其他的免杀方法如下:


5.1 EnumFontsW


5.2 EnumFontFamiliesW


5.3 EnumFontFamiliesExW


5.4 EnumDisplayMonitors


5.5 EnumDesktopWindows


5.6 EnumDesktopW


5.7 EnumChildWindows


5.8 CopyFileEx


5.9 CreateTimerQueueTimer_Tech


5.10 CryptEnumOIDInfo


5.11 EnumChildWindows


全部使用Windows Defender查杀:

查杀之后,清理电脑,看下有无能够存活的exe:

此时所有的exe全部被杀。。。。。。


6. 总结


在以上的测试中,NimShellCodeLoader提供的21种注入加载方法,而且还有两种不同的加密技术,并且密钥随机,每次生成的文件拥有不同的hash值。但是由于公开的原因,目前无法直接过Windows Defender(2022.03.17)。

因为篇幅原因,我并未对其是否免杀火绒和360进行测试,理论上将其中的绝大多数方法可以过火绒,大部分方法可以过360杀毒。(我并未对其进行测试,只是我的一个猜想)

当然,作者还提供了拓展的思路和指引,如果加上自己的某些修改,理论上将是可以过Windows Defender的,等后续有时间,我再学习学习。

相关文章
|
Serverless Android开发
Android魔术系列:一步步实现百叶窗效果
本篇是基于AnimationListView框架的,这个框架在上一篇中详细的讲解了,建议阅读本篇前先熟悉 《Android魔术系列:一步步实现对折页面》。 在上一章中我们实现对折的效果同时实现了一个AnimationListView的框架,在这个框架下我们可以实现很多效果。 本篇文章我们就在这个框架下实现一个百叶窗的效果
257 0
|
物联网 Android开发 Windows
|
存储 Android开发 索引
Android开发艺术探索——第八章:理解Window和WindowManager
理解Window和WindowManager Window表示的是一个窗口的概念,在日常生活中使用的并不是很多,但是某些特殊的需求还是需要的,比如悬浮窗之类的,他的具体实现是PhoneWindow,创建一个Window很简单,只需要WindowManager去实现,Windo...
1557 0
|
编译器 容器
Nim教程【十四】
网友@沉没捕鱼,赞助了一台服务器 这个系列的教程写完之后,我们就要开始着手搭建Nim的社区了~ 异常 Nim中的异常类型是对象类型 根据惯例,Nim中的异常类型的命名都应该以Error后缀结尾 在system模块中定义了异常类型的基类 所有的异常都应该派生自system.
1035 0
Nim教程【十一】
引用类型和指针类型 不同的引用可以只想和修改相同的内存单元 在nim中有两种引用方式,一种是追踪引用,另一种是非追踪引用 非追踪引用也就是指针,指向手动在内存中分配的对象; 追踪引用指向一个垃圾收集的对象; 非追踪引用是不安全的 然而对于一些低级操作(比如说访问硬件),非追踪引用是不...
848 0