免杀对抗从0开始(四)

admin 2024年11月7日17:13:24评论10 views字数 871阅读2分54秒阅读模式
🔥师傅您好:为了确保您不错过我们的最新网络安全资讯、技术分享和前沿动态,请将我们设为星标🌟!这样,您就能轻松追踪我们的每一篇精彩内容,与我们一起共筑网络安全防线!感谢您的支持与关注!💪
免责声明:文章所涉及内容,仅供安全研究教学使用,由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。

一线红队带你从O到无限进步  

本文章所涉及所有内容均是大佬上课说讲的内容,其中做了一下基础的补充,高深的技术后面会慢慢在文章中出现

一线在职红队在线性感分享技术,从c语言开始基础带你慢慢进入终端对抗(免杀但是不止免杀)的大门。

紧接上文

动态调用

为什么需要使用动态调用,是因为我们在代码使用的API函数都会在程序的导出表中记录,为了规避杀毒软件的静态查杀而使用到的。

这里可以看到第一个函数就是VirtualAlloc,这里我们就需要使用动态调用的方式去隐藏函数

免杀对抗从0开始(四)

这就是使用动态调用的代码(注意这里使用了loadlibrary这类函数,实际我们也需要隐藏,但是会用到其他方法),我们成功打印了我们需要的内容。

免杀对抗从0开始(四)

我们在来查看的时候发现以及没有VirtualAlloc函数了,以此类推这样的方法也可以隐藏其他函数

免杀对抗从0开始(四)

进程创建以及执行shellcode

这里我们所使用到的函数VirtualAlloc,CreateThread,WaitForSingleObject然后我们展示代码并且上线

这是我们上线的截图

免杀对抗从0开始(四)

这是我们使用到的代码(可以结合上面的动态调用使用)

免杀对抗从0开始(四)

常规shellcode执行步骤(为核心基础步骤)  

1.计算shellcode内存大小(因为我们需要去申请一块内存存放我们的shellcode,所以需要获得shellcode的大小)

2.申请shellcode内存(根据大小申请内存,这里我们需要申请可读可写可执行的内存)

3.将shellcode写入内存中(写入shellcode)

4.执行shellcode内容(shellcode放入内存以后我们将它执行起来)

原文始发于微信公众号(泾弦安全):免杀对抗从0开始(四)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月7日17:13:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   免杀对抗从0开始(四)http://cn-sec.com/archives/3369132.html

发表评论

匿名网友 填写信息