0day安全阅读笔记[2]通过加解密保护shellcode

最新推荐文章于 2025-03-30 08:16:41 发布
最新推荐文章于 2025-03-30 08:16:41 发布
阅读量574 收藏
点赞数
分类专栏: 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37232329/article/details/109497255
版权

shellcode结合了逆向中的壳的概念,为shellcode增加了一个简易壳(实际上就是进行了异或操作), 来看shellcode的源码:

__asm {
	nop
	cld                      
	push 0x1E380A6A
	push 0x4FD18963
	push 0x0C917432
	mov esi, esp
	lea edi, [esi - 0xc]
	xor	ebx, ebx
	mov	bh, 0x04
	sub	esp, ebx
	mov	bx, 0x3233
	push ebx
	push 0x72657375
	push esp
	xor	edx, edx
	mov	ebx, fs:[edx + 0x30]
	mov	ecx, [ebx + 0xC]
	mov	ecx, [ecx + 0x1C]
	mov	ecx, [ecx]
	mov	ebp, [ecx + 0x8]
find_lib_functions:
	lodsd
	cmp	eax, 0x1E380A6A
	jne	find_functions
	xchg eax, ebp
	call [edi - 0x8]
	xchg eax, ebp
find_functions:
	pushad                    
	mov	eax, [ebp + 0x3C]		
	mov	ecx, [ebp + eax + 0x78]
	add	ecx, ebp			
	mov	ebx, [ecx + 0x20]	
	add	ebx, ebp            
	xor	edi, edi
next_function_loop:
	inc	edi
	mov esi, [ebx + edi * 4]   
	add	esi, ebp			  
	cdq                     	
hash_loop:
	movsx eax, byte ptr[esi]
	cmp	al, ah              
	jz compare_hash
	ror edx, 7
	add edx, eax
	inc	esi
	jmp	hash_loop
compare_hash:
	cmp	edx, [esp + 0x1C]   
	jnz	next_function_loop
	mov	ebx, [ecx + 0x24]   
	add	ebx, ebp          
	mov di, [ebx + 2 * edi]   
	mov	ebx, [ecx + 0x1C]   
	add	ebx, ebp        
	add	ebp, [ebx + 4 * edi]         
	xchg eax, ebp          
	pop	edi
	stosd               
	push edi
	popad
	cmp	eax, 0x1e380a6a   
	jne	find_lib_functions
function_call:
	xor	ebx, ebx
	push ebx
	push 0x74736577
	push 0x6c696166       
	mov	eax, esp
	push ebx
	push eax
	push eax
	push ebx
	call [edi - 0x04]       
	push ebx
	call [edi - 0x08]       
	nop	
}

由于这段源码首先通过fs选择子找到TEB的位置,接着定位PEB, PEB_LDR_DATA... 最终找到kernel32.dll在内存中加载的基址。根据PE结构找到kernel32.dll的导出表,最终的目的是定位到ExitProcess和LoadLibrary的绝对地址。通过LoadLibrary加载user32.dll后获取MessageBoxA的绝对地址,最终弹出一个对话框后用ExitProcess结束进程。

这段shellcode的机器码如下所示:

char shellcode[] = {
	"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"
	"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"
	"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"
	"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"
	"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"
	"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"
	"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"
	"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"
	"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"
	"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"
	"\x53\xFF\x57\xFC\x53\xFF\x57\xF8"
};

对其进行异或加密后结果如下:

char shellcode[] = {
    "\xb8\x2c\x2e\x4e\x7c\x5a\x2c\x27\xcd\x95\x0b\x2c\x76\x30\xd5\x48"
    "\xcf\xb0\xc9\x3a\xb0\x77\x9f\xf3\x40\x6f\xa7\x22\xff\x77\x76\x17"
    "\x2c\x31\x37\x21\x36\x10\x77\x96\x20\xcf\x1e\x74\xcf\x0f\x48\xcf"
    "\x0d\x58\xcf\x4d\xcf\x2d\x4c\xe9\x79\x2e\x4e\x7c\x5a\x31\x41\xd1"
    "\xbb\x13\xbc\xd1\x24\xcf\x01\x78\xcf\x08\x41\x3c\x47\x89\xcf\x1d"
    "\x64\x47\x99\x77\xbb\x03\xcf\x70\xff\x47\xb1\xdd\x4b\xfa\x42\x7e"
    "\x80\x30\x4c\x85\x8e\x43\x47\x94\x02\xaf\xb5\x7f\x10\x60\x58\x31"
    "\xa0\xcf\x1d\x60\x47\x99\x22\xcf\x78\x3f\xcf\x1d\x58\x47\x99\x47"
    "\x68\xff\xd1\x1b\xef\x13\x25\x79\x2e\x4e\x7c\x5a\x31\xed\x77\x9f"
    "\x17\x2c\x33\x21\x37\x30\x2c\x22\x25\x2d\x28\xcf\x80\x17\x14\x14"
    "\x17\xbb\x13\xb8\x17\xbb\x13\xbc\xd4"
};

这就是加密过后的shellcode了,接下去来写出解密程序:

#include <windows.h>
#include <stdio.h>

int main() {
	__asm {
		add eax, 0x14 
		xor ecx, ecx 
	decode_loop:
		mov bl, [eax + ecx]
		xor bl, 0x44 
		mov [eax + ecx], bl 
		inc ecx 
		cmp bl, 0x90
		jne decode_loop 
	}

	return(0);
}

这段代码的含义先不考虑,先提取机器码为如下:

char decoder[20] = {
        "\x83\xC0\x14\x33\xC9\x8A\x1C\x08\x80\xF3\x44\x88\x1C\x08\x41\x80"
	"\xFB\x90\x75\xF1"
}; // 从这开始往上是解码器shellcode

可以看到,这段解码代码一共20个字节, 接下去把解码代码和加密过后的shellcode进行组合后写出完整程序:

#include <windows.h>
#include <stdio.h>

char shellcode[] = {
	"\x83\xC0\x14\x33\xC9\x8A\x1C\x08\x80\xF3\x44\x88\x1C\x08\x41\x80"
	"\xFB\x90\x75\xF1" // 从这开始往上是解码器shellcode
	"\xb8\x2c\x2e\x4e\x7c\x5a\x2c\x27\xcd\x95\x0b\x2c\x76\x30\xd5\x48"
	"\xcf\xb0\xc9\x3a\xb0\x77\x9f\xf3\x40\x6f\xa7\x22\xff\x77\x76\x17"
	"\x2c\x31\x37\x21\x36\x10\x77\x96\x20\xcf\x1e\x74\xcf\x0f\x48\xcf"
	"\x0d\x58\xcf\x4d\xcf\x2d\x4c\xe9\x79\x2e\x4e\x7c\x5a\x31\x41\xd1"
	"\xbb\x13\xbc\xd1\x24\xcf\x01\x78\xcf\x08\x41\x3c\x47\x89\xcf\x1d"
	"\x64\x47\x99\x77\xbb\x03\xcf\x70\xff\x47\xb1\xdd\x4b\xfa\x42\x7e"
	"\x80\x30\x4c\x85\x8e\x43\x47\x94\x02\xaf\xb5\x7f\x10\x60\x58\x31"
	"\xa0\xcf\x1d\x60\x47\x99\x22\xcf\x78\x3f\xcf\x1d\x58\x47\x99\x47"
	"\x68\xff\xd1\x1b\xef\x13\x25\x79\x2e\x4e\x7c\x5a\x31\xed\x77\x9f"
	"\x17\x2c\x33\x21\x37\x30\x2c\x22\x25\x2d\x28\xcf\x80\x17\x14\x14"
	"\x17\xbb\x13\xb8\x17\xbb\x13\xbc\xd4"
};

int main() {
	__asm {
		lea eax, shellcode
		push eax
		ret
	}

	return(0);
}

可以看到main函数中仅仅是获取shellcode的动态地址后直接跳转到该地址运行。由于执行过lea eax, shellcode所以跳转过去后eax的内容为shellcode的起始地址

来看一下ollydbg的内容:

retn后就直接调到了eax即shellcode位置进行执行

再来看一下解码器代码:

__asm {
		add eax, 0x14 
		xor ecx, ecx 
	decode_loop:
		mov bl, [eax + ecx]
		xor bl, 0x44 
		mov [eax + ecx], bl 
		inc ecx 
		cmp bl, 0x90
		jne decode_loop 
	}

第一句代码:

add eax, 0x14 ; 0x14 == 20

实际上就是越过解码器代码,获得被加密后的shellcode代码地址, 之后通过循环解密。

shellcode就露出了真面目。

(完)

[网络安全自学篇] 五.IDA反汇编工具初识及逆向工程解密实战
杨秀璋的专栏
08-08 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。上一篇文章分享了实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”;这一篇文章将详细讲解IDA Pro反汇编工具的基础用法,并简单讲解一个EXE逆向工程解密实战方法。希望对入门的博友有帮助,大神请飘过,谢谢各位看官!
[系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]
杨秀璋的专栏
01-22 1738
前文介绍了软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础性基础,且看且珍惜。
shellcode加密免杀
longwanlian的博客
08-03 1179
先说结论,笔者没成功。
shellcode加密与解密
weixin_30338461的博客
07-22 1261
// Encoder.cpp : Defines the entry point for the console application.// #include "stdafx.h"#include <Windows.h>#include <stdio.h> void encoder(char* input ,unsigned char key,int display_...
如何识别shellcode是否加密,加密的方式 和如何解密
最新发布
zhaoyong631的博客
03-30 593
在分析恶意软件样本时,识别 shellcode 是否加密以及其加密方式是至关重要的步骤。以下是具体的方法、常见的加密技术以及解密的方法,并结合示例进行说明。通常,shellcode 需要在目标进程中执行,因此在解密后会出现可执行的指令。如果 shellcode 经过 AES 加密,通常会在内存中找到密钥或。如果你有特定的恶意软件样本或代码,可以提供,我可以帮你分析解密方法!
C/C++ ShellCode 常用加密方式
CSDN
09-11 1万+
异或加密(XOR加密)是一种简单的加密算法,通过将明文与密钥进行异或运算来生成密文。异或运算的特点是,当两个操作数相同时结果为0,不同时结果为1。因此,异或加密可以简单地通过多次对明文与密钥进行异或运算来实现。
alpha2 shellcode加密(转字符串)VC2008工程
11-23
国外大牛开发的把shellcode全部转为字符串并且能正常运行的加密码算法,非常牛,因为网络上很难找到,本来通过收集网络上的alpha2算法片段拼凑出来的完整版,听说有alpha3了但感觉这个够用了,特来分享我的百度博客: http://hi.baidu.com/icelphi
shellcode 进行加密原理
weixin_30457551的博客
08-01 698
shellcode 进行加密: #include "stdio.h" char popup_general[]= "\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C" "\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x5...
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
热门推荐
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器
杨秀璋的专栏
05-14 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
[网络安全自学篇] 九十.远控木马详解及APT攻击中的远控和防御
杨秀璋的专栏
07-24 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源。这篇文章将详细分享远控木马及APT攻击中的远控,包括木马的基本概念和分类、木马的植入方式、远控木马的通信方式、APT攻击与远控木马等。作者之前分享了多篇木马的文章,但这篇更多是讲解远控型木马,基础性文章,希望对您有所帮助~
vbs shellcode转换escape加密
09-06
用vbs转换加密代码
SHELLCODE設計解密
06-15
SHELLCODE設計解密SHELLCODE設計解密SHELLCODE設計解密
简易加密压缩壳项目
精彩的艺术
02-28 957
编译工具:VS 2013 操作系统:Win7 x64 实现功能: 1.加密代码段 2.压缩区段 3.加密IAT 4.支持随机基址 5.代码混淆、反调试 6.解除自己加的壳 演示效果: 下载地址: 链接: https://pan.baidu.com/s/1i5ohV2P 密码: 68z7
shellcode加密过杀软
Summer's blog
05-13 1万+
第一次学习编写shellcode,大佬勿喷。
shellcode混淆加密(二)
m0_62466350的博客
12-01 1850
本文首发博客园https://www.cnblogs.com/fdxsec/p/17827348.html。
深入理解Shellcode混淆加密技术
weixin_51030879的博客
07-07 1276
Shellcode是攻击者利用漏洞进行远程代码执行的核心部分。然而,传统的Shellcode往往被防御机制所检测和拦截。为了绕过这些防御机制,攻击者采取了一系列混淆和加密技术来隐藏Shellcode的真实意图和功能。在本文中,我们将深入探讨Shellcode混淆和加密技术的原理和实践。一、Shellcode简介Shellcode是一段用于利用计算机系统中的漏洞或进行恶意活动的机器码。它通常是由黑客编写的,并被注入到受攻击的系统中,以执行特定的操作,比如获取系统权限、执行远程命令、下载和安装恶意软件等。
[ShellCode] 动态解密 ShellCode,免杀
LYSM
11-27 2363
背景 今天在复习《加密与解密》时,在软件保护这一章中有一个代码与数据结合的案例,其原理是将代码段中的代码进行xor异或加密处理以后回写到原始位置,当程序运行后将此处的内容动态的进行解密,解密后回写替换回原始内存位置,这样就能实现内存加载。 由此案例我想到一个关于免杀的利用思路,首先杀软的运作方式多数为特征码查杀,当我们程序中使用了敏感的函数时,就会存在被杀的风险,而如果将代码段中的代码进行加密,需要时直接在内存中解密,那么杀软将无法捕捉硬盘文件的特征,从而可以规避杀软针对硬盘特征的查杀手法。 经过阅读该案例
C语言实现shellcode通用框架一:文件解密执行
yan_star的博客
01-21 696
简介: 之前写的代码,开下源。相当于shellcode里面套了一段解密shellcode,可以贴在PE文件后面,改入口点,最后执行完成以后再跳回来。最主要的还是要学习一下,shellcode框架怎么写,怎么地址无关,怎么随心所欲的调自己想要的API。这个知道了,就可以随便写shellcode了,但是注意shellcode中字符串的初始化格式,都是以字符数组的格式保存,这样才能地址无关!!!!!下面看代码就行,希望对大家有所帮助。 #include <Windows.h> FARPROC
软件漏洞分析:0day安全前沿与实操技巧
在看雪论坛出的0day安全前几章的介绍下,我们可以清晰地了解到此领域的重要性和深度。引子中的一句话"要成为一个改变“不可能”为“可能”的标点符号",不仅令人深思,更是对软件漏洞分析带来的无限可能性的一种憧憬...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值