冰蝎魔改(特征混淆流量加密)

admin
admin
admin
138635
文章
114
评论
2024年2月3日20:15:57评论65 views字数 2056阅读6分51秒阅读模式

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任!

前言

魔改冰蝎可以更改流量特征以及添加自己的加密协议,从而达到免杀的效果,因为强特征杀毒软件很容易识别,当我们修改了特征它就无法判断是否为恶意流量,更改协议也是一个道理,杀毒软件病毒库里面已经存放了冰蝎中内置的6个加密协议。

工具反编译

通过在线工具进行反编译(挂梯子会比较快) 在线工具:https://www.decompiler.com/

特征混淆

  1. 特征分析 开启代理利用burp进行分析,Accept、Accept-Language、User-Agent三个固定特征,UA头内置的随机10个。
public static String[] userAgents = new String[]{"Mozilla/5.0 (Macintosh; Intel Mac OS X 11_2_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36""Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0""Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36""Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36 Edg/99.0.1150.55""Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36""Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:98.0) Gecko/20100101 Firefox/98.0""Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36""Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36""Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:79.0) Gecko/20100101 Firefox/79.0""Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko"};

冰蝎魔改(特征混淆流量加密)

  1. 特征修改(idea简单的设置)

冰蝎魔改(特征混淆流量加密)

冰蝎魔改(特征混淆流量加密)

第一步设置项目的jdk版本,我设置的是1.8版本的jdk

冰蝎魔改(特征混淆流量加密)

第二部导入模块

冰蝎魔改(特征混淆流量加密)

冰蝎魔改(特征混淆流量加密)

冰蝎魔改(特征混淆流量加密)

第三步设置主类

冰蝎魔改(特征混淆流量加密)

冰蝎魔改(特征混淆流量加密)

还需要把原文件中的数据库文件复制到主文件中

冰蝎魔改(特征混淆流量加密)

做完了后就可以修改特征

冰蝎魔改(特征混淆流量加密)

不能直接在文件中改需要把整个路径复制到src文件中,把不需要修改的文件可以删掉,不然构建的时候会很慢

冰蝎魔改(特征混淆流量加密)

我修改了accepts特征(但是我在后面使用软件出错后我就只修改了这个文件的版权,特征是在shell文件中修改的)

冰蝎魔改(特征混淆流量加密)

UA特征在shell文件中

冰蝎魔改(特征混淆流量加密)

修改好了后就可以构建模块了

冰蝎魔改(特征混淆流量加密)

构建工件

冰蝎魔改(特征混淆流量加密)

直接运行

冰蝎魔改(特征混淆流量加密)

冰蝎魔改(特征混淆流量加密)

查看更改的特征,可以不用更改con的那个文件直接修改shell文件(我更改了con的文件发现不能打开shell)

冰蝎魔改(特征混淆流量加密)

加密协议

加密协议和解密协议可以利用chatgpt来写

冰蝎魔改(特征混淆流量加密)

在传输协议配置中点击新建

冰蝎魔改(特征混淆流量加密)

冰蝎魔改(特征混淆流量加密)

保存后点击分享

冰蝎魔改(特征混淆流量加密)

通过全局查找找到了内置的6个加密协议的存放路径

冰蝎魔改(特征混淆流量加密)

把这个目录复制到src中后在把刚刚保存的加密协议放在这个目录然后重新构建

冰蝎魔改(特征混淆流量加密)

冰蝎魔改(特征混淆流量加密)

也可以生成php类型

冰蝎魔改(特征混淆流量加密)

冰蝎魔改(特征混淆流量加密)

冰蝎魔改(特征混淆流量加密)

冰蝎魔改(特征混淆流量加密)

总结:说一下我在魔改过程中遇到的一些问题,我的项目中设置的java1.8_02版本,接没有找到主类main,换成java_03后才找到,不然在idea中下载java环境,我最开始是在idea中下载,后面还是遇到了环境问题,我才去官网下的其它版本,遇到问题可能就是java版本问题,后面用chatgpt生成加密协议的时候一直不行,后面把中文注释去掉后就能成功,因为我安装的是phpstudy不能解析jsp文件所以只测试了php文件。

原文始发于微信公众号(Piusec):冰蝎魔改(特征混淆流量加密)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月3日20:15:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   冰蝎魔改(特征混淆流量加密)https://cn-sec.com/archives/2465856.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息