C2远控篇&C&C++&ShellCode分离&File提取&Http协议&Argv参数&Sock管道

#C2远控-ShellCode-认知&环境

1.创建工程时关闭SDL检查

2.属性->C/C++->代码生成->运行库->多线程 (/MT)如果是debug则设置成MTD

3.属性->C/C++->代码生成->禁用安全检查GS

4.关闭生成清单 属性->链接器->清单文件->生成清单 选择否

#C2远控-ShellCode-分析&提取

ShellCode的本质其实就是一段可以自主运行的代码。

它没有任何文件结构,它不依赖任何编译环境,无法像exe一样双击运行,

因此需要通过控制程序流程跳转到shellcode地址加载上去执行shellcode。

目的:杀毒和感知平台如何定性

分析:OD&xdb&ida

提取:010Editor

加载:各种Loader方法执行

流程:ShellCode->Loader->EXE

思路:

1、Shellcode自写打乱-让杀毒不认识

2、Shellcode加密混淆-让杀毒不知道

3、Shellcode分离隐藏-让杀毒找不到

4、Shellcode注入回调-让杀毒绕圈圈

内存免杀是将shellcode直接加载进内存,由于没有文件落地,因此可以绕过文件扫描策略的查杀。为了使内存免杀的效果更好,在申请内存时一般采用渐进式申请一块可读写内存,在运行时改为可执行,在执行的时候遵循分离免杀的思想。分离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的ShellCode通过分块传输的方法上传然后再拼接,这些体现了基本的"分离"思想。

➢C2远控-ShellCode分离-C/C++从文本中提取

目录2个文件:xxxx.exe xxx.bin

可升级:混淆加密xxx.bin,读取后进行解密执行

➢C2远控-ShellCode分离-C/C++从参数中提取

执行:xxxx.exe shellcode

可升级:xxxx.exe shellcode password

➢C2远控-ShellCode分离-C/C++从网站中提取(shellcode要进行十进制转换在txt文件 如果是正常的话不会被传输 会当作字符串处理)

url:http://xx.xx.xx.xx/sc.txt

可升级:可以在绿标白名单的网站上找一个存储路径充当(txt十进制shellcode进行混淆加密)

➢C2远控-ShellCode分离-C/C++从管道中提取

socket,pipe等技术

利用建立网络通讯管道,在发送ShellCode接受执行

可升级:可以在发送过程中进行混淆加密,接受后进行解密执行

相关推荐
@珍惜一生@3 分钟前
xerces-c-src_2_8_0 arm_linux编译
linux·c语言·arm开发
程序员-Queen37 分钟前
RDQS_c和RDQS_t的作用及区别
c语言·开发语言
weixin_307779131 小时前
设计Mock CUDA库的流程与实现
c++·算法·gpu算力
郝学胜-神的一滴1 小时前
应用Builder模式在C++中进行复杂对象构建
开发语言·c++·程序人生
微露清风1 小时前
C语言习题讲解-第九讲- 常见错误分类等
c语言·开发语言
j_xxx404_1 小时前
数据结构:算法复杂度与空间复杂度
c语言·数据结构·算法
归云鹤2 小时前
C++ 构造函数语义学
开发语言·c++
闻道且行之3 小时前
TTS语音合成|GPT-SoVITS语音合成服务器部署,实现http访问
服务器·gpt·http
自由随风飘3 小时前
旅游城市数量最大化 01背包问题
数据结构·c++·算法·动态规划·旅游
好好先森&4 小时前
C语言:冒泡排序
c语言·数据结构·算法·遍历·冒牌排序