C2远控篇&C&C++&ShellCode分离&File提取&Http协议&Argv参数&Sock管道

#C2远控-ShellCode-认知&环境

1.创建工程时关闭SDL检查

2.属性->C/C++->代码生成->运行库->多线程 (/MT)如果是debug则设置成MTD

3.属性->C/C++->代码生成->禁用安全检查GS

4.关闭生成清单 属性->链接器->清单文件->生成清单 选择否

#C2远控-ShellCode-分析&提取

ShellCode的本质其实就是一段可以自主运行的代码。

它没有任何文件结构,它不依赖任何编译环境,无法像exe一样双击运行,

因此需要通过控制程序流程跳转到shellcode地址加载上去执行shellcode。

目的:杀毒和感知平台如何定性

分析:OD&xdb&ida

提取:010Editor

加载:各种Loader方法执行

流程:ShellCode->Loader->EXE

思路:

1、Shellcode自写打乱-让杀毒不认识

2、Shellcode加密混淆-让杀毒不知道

3、Shellcode分离隐藏-让杀毒找不到

4、Shellcode注入回调-让杀毒绕圈圈

内存免杀是将shellcode直接加载进内存,由于没有文件落地,因此可以绕过文件扫描策略的查杀。为了使内存免杀的效果更好,在申请内存时一般采用渐进式申请一块可读写内存,在运行时改为可执行,在执行的时候遵循分离免杀的思想。分离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的ShellCode通过分块传输的方法上传然后再拼接,这些体现了基本的"分离"思想。

➢C2远控-ShellCode分离-C/C++从文本中提取

目录2个文件:xxxx.exe xxx.bin

可升级:混淆加密xxx.bin,读取后进行解密执行

➢C2远控-ShellCode分离-C/C++从参数中提取

执行:xxxx.exe shellcode

可升级:xxxx.exe shellcode password

➢C2远控-ShellCode分离-C/C++从网站中提取(shellcode要进行十进制转换在txt文件 如果是正常的话不会被传输 会当作字符串处理)

url:http://xx.xx.xx.xx/sc.txt

可升级:可以在绿标白名单的网站上找一个存储路径充当(txt十进制shellcode进行混淆加密)

➢C2远控-ShellCode分离-C/C++从管道中提取

socket,pipe等技术

利用建立网络通讯管道,在发送ShellCode接受执行

可升级:可以在发送过程中进行混淆加密,接受后进行解密执行

相关推荐
oioihoii7 分钟前
C++11中的std::minmax与std::minmax_element:原理解析与实战
java·开发语言·c++
c7_ln28 分钟前
MYSQL C_API使用全解
c语言·数据库·mysql
CS semi1 小时前
C++每日刷题day2025.7.10
开发语言·c++
AI+程序员在路上2 小时前
Qt6中模态与非模态对话框区别
开发语言·c++·qt
岁忧7 小时前
(LeetCode 面试经典 150 题 ) 11. 盛最多水的容器 (贪心+双指针)
java·c++·算法·leetcode·面试·go
秋说9 小时前
【PTA数据结构 | C语言版】一元多项式求导
c语言·数据结构·算法
暮鹤筠10 小时前
[C语言初阶]操作符
c语言·开发语言
蜉蝣之翼❉12 小时前
CRT 不同会导致 fopen 地址不同
c++·mfc
aramae12 小时前
C++ -- STL -- vector
开发语言·c++·笔记·后端·visual studio
lixzest12 小时前
C++ Lambda 表达式详解
服务器·开发语言·c++·算法