C2远控篇&C&C++&ShellCode分离&File提取&Http协议&Argv参数&Sock管道

#C2远控-ShellCode-认知&环境

1.创建工程时关闭SDL检查

2.属性->C/C++->代码生成->运行库->多线程 (/MT)如果是debug则设置成MTD

3.属性->C/C++->代码生成->禁用安全检查GS

4.关闭生成清单 属性->链接器->清单文件->生成清单 选择否

#C2远控-ShellCode-分析&提取

ShellCode的本质其实就是一段可以自主运行的代码。

它没有任何文件结构,它不依赖任何编译环境,无法像exe一样双击运行,

因此需要通过控制程序流程跳转到shellcode地址加载上去执行shellcode。

目的:杀毒和感知平台如何定性

分析:OD&xdb&ida

提取:010Editor

加载:各种Loader方法执行

流程:ShellCode->Loader->EXE

思路:

1、Shellcode自写打乱-让杀毒不认识

2、Shellcode加密混淆-让杀毒不知道

3、Shellcode分离隐藏-让杀毒找不到

4、Shellcode注入回调-让杀毒绕圈圈

内存免杀是将shellcode直接加载进内存,由于没有文件落地,因此可以绕过文件扫描策略的查杀。为了使内存免杀的效果更好,在申请内存时一般采用渐进式申请一块可读写内存,在运行时改为可执行,在执行的时候遵循分离免杀的思想。分离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的ShellCode通过分块传输的方法上传然后再拼接,这些体现了基本的"分离"思想。

➢C2远控-ShellCode分离-C/C++从文本中提取

目录2个文件:xxxx.exe xxx.bin

可升级:混淆加密xxx.bin,读取后进行解密执行

➢C2远控-ShellCode分离-C/C++从参数中提取

执行:xxxx.exe shellcode

可升级:xxxx.exe shellcode password

➢C2远控-ShellCode分离-C/C++从网站中提取(shellcode要进行十进制转换在txt文件 如果是正常的话不会被传输 会当作字符串处理)

url:http://xx.xx.xx.xx/sc.txt

可升级:可以在绿标白名单的网站上找一个存储路径充当(txt十进制shellcode进行混淆加密)

➢C2远控-ShellCode分离-C/C++从管道中提取

socket,pipe等技术

利用建立网络通讯管道,在发送ShellCode接受执行

可升级:可以在发送过程中进行混淆加密,接受后进行解密执行

相关推荐
岁忧1 小时前
(LeetCode 面试经典 150 题 ) 11. 盛最多水的容器 (贪心+双指针)
java·c++·算法·leetcode·面试·go
秋说3 小时前
【PTA数据结构 | C语言版】一元多项式求导
c语言·数据结构·算法
暮鹤筠4 小时前
[C语言初阶]操作符
c语言·开发语言
蜉蝣之翼❉6 小时前
CRT 不同会导致 fopen 地址不同
c++·mfc
aramae6 小时前
C++ -- STL -- vector
开发语言·c++·笔记·后端·visual studio
lixzest7 小时前
C++ Lambda 表达式详解
服务器·开发语言·c++·算法
_Chipen8 小时前
C++基础问题
开发语言·c++
灿烂阳光g8 小时前
OpenGL 2. 着色器
c++·opengl
AA陈超9 小时前
虚幻引擎UE5专用服务器游戏开发-20 添加基础能力类与连招能力
c++·游戏·ue5·游戏引擎·虚幻
阿捏利9 小时前
C Primer Plus 第6版 编程练习——第7章(上)
c语言·编程题·c primer plus