C2远控篇&C&C++&ShellCode分离&File提取&Http协议&Argv参数&Sock管道

#C2远控-ShellCode-认知&环境

1.创建工程时关闭SDL检查

2.属性->C/C++->代码生成->运行库->多线程 (/MT)如果是debug则设置成MTD

3.属性->C/C++->代码生成->禁用安全检查GS

4.关闭生成清单 属性->链接器->清单文件->生成清单 选择否

#C2远控-ShellCode-分析&提取

ShellCode的本质其实就是一段可以自主运行的代码。

它没有任何文件结构,它不依赖任何编译环境,无法像exe一样双击运行,

因此需要通过控制程序流程跳转到shellcode地址加载上去执行shellcode。

目的:杀毒和感知平台如何定性

分析:OD&xdb&ida

提取:010Editor

加载:各种Loader方法执行

流程:ShellCode->Loader->EXE

思路:

1、Shellcode自写打乱-让杀毒不认识

2、Shellcode加密混淆-让杀毒不知道

3、Shellcode分离隐藏-让杀毒找不到

4、Shellcode注入回调-让杀毒绕圈圈

内存免杀是将shellcode直接加载进内存,由于没有文件落地,因此可以绕过文件扫描策略的查杀。为了使内存免杀的效果更好,在申请内存时一般采用渐进式申请一块可读写内存,在运行时改为可执行,在执行的时候遵循分离免杀的思想。分离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的ShellCode通过分块传输的方法上传然后再拼接,这些体现了基本的"分离"思想。

➢C2远控-ShellCode分离-C/C++从文本中提取

目录2个文件:xxxx.exe xxx.bin

可升级:混淆加密xxx.bin,读取后进行解密执行

➢C2远控-ShellCode分离-C/C++从参数中提取

执行:xxxx.exe shellcode

可升级:xxxx.exe shellcode password

➢C2远控-ShellCode分离-C/C++从网站中提取(shellcode要进行十进制转换在txt文件 如果是正常的话不会被传输 会当作字符串处理)

url:http://xx.xx.xx.xx/sc.txt

可升级:可以在绿标白名单的网站上找一个存储路径充当(txt十进制shellcode进行混淆加密)

➢C2远控-ShellCode分离-C/C++从管道中提取

socket,pipe等技术

利用建立网络通讯管道,在发送ShellCode接受执行

可升级:可以在发送过程中进行混淆加密,接受后进行解密执行

相关推荐
艾莉丝努力练剑1 小时前
【C语言16天强化训练】从基础入门到进阶:Day 6
c语言·数据结构·学习·算法
成富2 小时前
MCP 传输方式,stdio、HTTP SSE 和 Streamable HTTP
网络·网络协议·http
草莓熊Lotso3 小时前
【C语言强化训练16天】--从基础到进阶的蜕变之旅:Day10
c语言·开发语言·经验分享·算法·强化
Aczone284 小时前
Linux 软件编程(九)网络编程:IP、端口与 UDP 套接字
linux·网络·网络协议·tcp/ip·http·c#
risc-v@cn4 小时前
【在ubuntu下使用vscode打开c++的make项目及编译调试】
c++·vscode·ubuntu
让我们一起加油好吗4 小时前
【C++】多态(详解)
c++·visualstudio·多态·虚函数
草莓熊Lotso4 小时前
【C++】--函数参数传递:传值与传引用的深度解析
c语言·开发语言·c++·其他·算法
zylyehuo5 小时前
C++提高编程
c++
qq_411262425 小时前
为什么会“偶发 539/500 与建连失败”
服务器·c语言·网络·智能路由器
scx201310045 小时前
20250822 组题总结
c++·算法