Shellcode Loader免杀

admin 2022年10月3日13:30:36程序逆向评论28 views660字阅读2分12秒阅读模式

前言

xdm国庆节快乐,加班结束,终于到放假的日子了

正文

查找查杀点

先放置完整的代码,百分百被杀

Shellcode Loader免杀

从头开始,删除

Shellcode Loader免杀

Shellcode Loader免杀


发现加载shellcode的时候报毒了

Shellcode Loader免杀

去除特征

按照网上的做法,有两个函数可以做到

他们的区别为,exec可以做到一次执行多条语句,而eval只能执行一条语句,同时eval无法做到赋值的操作
这里用eval演示一下
先简单的base64一下

Shellcode Loader免杀

然后在脚本中

Shellcode Loader免杀

继续往下走,继续报毒

Shellcode Loader免杀

重复一下操作,将创建进程并激活这部分的代码也进行base64

Shellcode Loader免杀

这里插一个题外话,python去实现其他的加密方法比其他语言简单很多,所以这里为了演示效果,也只是用eval去执行单条base64编码语句

实际操作的时候可以考虑用exec的方式,然后使用其他加密的方法来混淆(当然还是不推荐用python做免杀)

尝试一下上线

Shellcode Loader免杀

Shellcode Loader免杀

Shellcode Loader免杀

参考文章

cs分离+混淆免杀
https://mp.weixin.qq.com/s?__biz=MzIwOTMzMzY0Ng==&mid=2247484570&idx=1&sn=1c4e459c07e3e57ee240fd131e65e972&chksm=9774387ba003b16d04ee632c4e271b8a0121a174016dacf1647e3e60c4a1e5d8e3f2b86969bc&scene=21#wechat_redirect
python分离免杀
https://zhuanlan.zhihu.com/p/492135330


原文始发于微信公众号(E条咸鱼):Shellcode Loader免杀

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月3日13:30:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Shellcode Loader免杀 http://cn-sec.com/archives/1330913.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: