记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Shellcode Runner Bypass AV

2020-11-21 19:28

rundll32执行.Net程序集

前言

原理:https://blog.xpnsec.com/undersanding-and-evading-get-injectedthread/

Start

先使用CSharpSetThreadContext[1]生成dll

用crpto.exe生成加密后的bin文件,然后把bin资源添加到runner里面. 生成即可.runner是加载器

修改一下.我要的是dll 安装dllexport管理包

要选中Runner

然后main函数是要导出的函数

[DllExport]static void Main(){    Detonate();}

编译的时候必须选择64位,要跟你的shellcode位数一样.32位杀的严格,建议64. 先来运行试试

上线没得问题,我怀疑我360抽风坏掉了,换个machine

Once again!

赛门360没问题,要过WD的话,可以试试ConfuserEx[2]

Comming Soon!

References

[1] CSharpSetThreadContext: https://github.com/djhohnstein/CSharpSetThreadContext
[2] ConfuserEx: https://github.com/mkaring/ConfuserEx/

[3] 【技术分享】Dll注入新姿势:SetThreadContext注入: https://www.anquanke.com/post/id/86786


碎碎念: 该技术的核心是XPN的一个思路. https://blog.xpnsec.com/undersanding-and-evading-get-injectedthread/ 

他介绍了三种方法,这个工具使用的是SetThreadContext. 

详细了解请转到:【技术分享】Dll注入新姿势:SetThreadContext注入[3]


 __      __.__                /  \    /  \__| ____    ____  \   \/\/   /  |/    \  / ___\  \        /|  |   |  \/ /_/  >  \__/\  / |__|___|  /\___  /        \/          \//_____/


QAQ凑不够300字不能申请原创.

  QAQ凑不够300字不能申请原创.

  QAQ凑不够300字不能申请原创.

  QAQ凑不够300字不能申请原创.


知识来源: https://mp.weixin.qq.com/s?__biz=MzUyMDgzMDMyMg==&mid=2247483911&idx=1&sn=ab537633d930de8b0c8ef4749d012e51

阅读:4863 | 评论:0 | 标签:shellcode shell

想收藏或者和大家分享这篇好文章→复制链接地址

“Shellcode Runner Bypass AV”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云