Shellcode免杀思维分析
💡
原文中文,约9400字,阅读约需23分钟。
📝
内容提要
运行时检测真的很难糊弄,但是可以通过函数指针、Loader、加密、添加字符、沙盒等技术来规避杀软的检测,从而实现免杀。比如可以使用XOR搭配其他加密方式混淆,也可以使用MSF生成加密的Shellcode,还可以通过添加字符/替换敏感函数进行绕过,最后可以使用沙盒规避。
🎯
关键要点
- Shellcode是一种恶意代码,试图劫持程序流程以执行恶意操作。
- Shellcode的执行过程包括打开目标进程、分配内存、写入有效负载和创建新线程执行Shellcode。
- Shellcode需要具备位置独立性,避免潜在错误,并能够使用注入技术。
- 使用WinAPI动态分配内存是执行Shellcode的标准方法,但容易被杀软检测。
- 通过进程注入和回调函数执行Shellcode可以规避检测。
- 运行时检测难以规避,但可以通过分离加载程序和有效负载来降低被检测的风险。
- 使用XOR和其他加密方式可以混淆Shellcode,绕过杀软的静态检测。
- 添加字符和替换敏感函数可以帮助绕过杀软的检测。
- 沙盒环境可能会改变API的返回值,利用这一点可以规避沙盒检测。
- 总结强调了学习和工作中的重要性,鼓励大家指出不足。
➡️
