概述
之前分析CS4的stage时,有老哥让我写下CS免杀上线方面知识,遂介绍之前所写shellcode框架,该框架的shellcode执行部分利用系统特性和直接系统调用(Direct System Call)执行,得以免杀主流杀软(火绒、360全部产品、毒霸等),该方式也是主流绕过3环AV、EDR、沙箱的常用手段。
![shellcode免杀框架内附SysWhispers2_x86直接系统调用]( "shellcode免杀框架内附SysWhispers2_x86直接系统调用")
![shellcode免杀框架内附SysWhispers2_x86直接系统调用]( "shellcode免杀框架内附SysWhispers2_x86直接系统调用")
![shellcode免杀框架内附SysWhispers2_x86直接系统调用]( "shellcode免杀框架内附SysWhispers2_x86直接系统调用")
github地址:
https://github.com/mai1zhi2/ShellCodeFramework
该框架主要由四个项目组成:
GenerateShellCode:负责生成相关功能的shellcode。
EncryptShellCode:负责以AES128加密所将执行的shellcode。
FunctionHash:负责计算shell中所用到函数的hash值。
XShellCodeLoader:负责执行加密后的shellcode。
运行原理详情,请阅读这篇文章:
请严格遵守网络安全法相关条例!此分享主要用于学习,切勿走上违法犯罪的不归路,一切后果自付!
关注此公众号,回复"Gamma"关键字免费领取一套网络安全视频以及相关书籍,公众号内还有收集的常用工具!
扫码领hacker资料,常用工具,以及各种福利
本文始发于微信公众号(Gamma实验室):shellcode免杀框架内附SysWhispers2_x86直接系统调用
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/257240.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论