非常欢迎大家加入我的知识星球。

以下列表是我在星球中做的一些技术分享,进入该索引的文章通常是我认为比较代表性必看的一类文章,基础知识部分包含了我认为是在本知识星球进行学习必备的知识,具备基础知识后的后续内容会按照分类整理依次整理,并及时更新。
当前更新时间:2022年6月8日。
非常欢迎大家加入我的知识星球。
以下列表是我在星球中做的一些技术分享,进入该索引的文章通常是我认为比较代表性必看的一类文章,基础知识部分包含了我认为是在本知识星球进行学习必备的知识,具备基础知识后的后续内容会按照分类整理依次整理,并及时更新。
当前更新时间:2022年6月8日。
常规的shellcode注入一般是通过VirtualAllocEx
,WriteProcessMemory
和 CreateRemoteThread
来实现的,但是这种方式是被安全软件重点监控的,同时微软提供的ETW接口也是可以轻易检测出上述方式进行代码注入的痕迹。本文的核心是讲解怎么利用具备 RWX-S 权限且自身有签名的白DLL进行一种比较隐蔽的shellcode注入,
并讲解具体的代码实现以及在写代码实现的过程中遇到的坑。本方法是由文章提出的:https://billdemirkapi.me/sharing-is-caring-abusing-shared-sections-for-code-injection/ ,详情可以参考此文章。
我的知识星球开启内测了,用微信扫描下面的小程序就可以免费加入,来和我一起学习安全技术。(在圈子内可以下载到源代码)
本文首发于安全客: https://www.anquanke.com/post/id/248688
在上一节我们已经通过自己编写的编码器对shellcode进行了编码,并且构建了一个ELF文件,但是出乎意料的是McAfee
和 McAfee-GW-Edition
还会报毒为木马,经过我的研究,我发现McAfee
判黑的逻辑非常简单,只要文件大小小于某个阈值,并且EntryPoint
附近有无法反汇编的数据,就会被报黑。这么看来,想让上一节的ELF文件不被所有的引擎检测就非常简单了,只需要在文件结尾再写一些乱数据就搞定了。
先占坑,防止我日后偷懒又不学了
本文首发于安全客: https://www.anquanke.com/post/id/242551
上一节我们利用模拟执行工具 unicorn 分析了 metasploit 生成的 shellcode 的执行过程和编码器 x86/shikata_ga_nai
的解码逻辑, 并依据 metasploit 的源代码分析了 payload 的生成过程。
从生成过程中我们也可以发现编码器的静态特征比较明显,容易被反病毒软件静态识别。为了逃避过杀毒软件的静态查杀,本文主要讲解如何实现自己的编码器进行代码编码并且手工构建ELF文件,因为ruby语言实在的不熟悉,所以本文暂时不会基于metasploit开发,主要还是使用我比较顺手的语言 python 进行开发。
本文首发于安全客: https://www.anquanke.com/post/id/242550
本文主要是通过编写一些自动化的工具来分析metepreter生成的linux平台的shellcode loader,以及解释一些常用的编码器的工作过程。
本文使用的工具是 unicorn,官方版本没有执行SMC代码的能力(已经在修了),推荐暂时使用个人patch版本https://github.com/wonderkun/unicorn
本文首发于安全客: https://www.anquanke.com/post/id/242549
平时比较忙,抽不出来大把的时间来写文章,导致这个系列的更新太过于迟缓了。怕一直找理由鸽了自己,今天先更新一篇水文吧。主要说一下利用现成的工具完成比较简单的免杀工作。
本文的核心目标是为了能够免杀任意的二进制,而不仅仅是为了免杀msf生成的shellcode,注意跟其他文章的区别