一次手动修改shellcode过火绒

来源:岁月联盟 编辑:猪蛋儿 时间:2022-08-04

### 前言

最近在学习病毒分析,在玉师傅的指导下完成了一次小实验,遂发出来纪念一下。

### 环境

kali :192.168.0.108
win10:192.168.0.103

### 开始

1,首先使用msf生成一段shellcode,并将其编译

1.jpg


编译,此时已被火绒直接杀掉,关闭火绒重新编译

2.jpg
2,编译完成后将exe拖入OD得到其汇编代码
进入call eax内部

3.jpg

从灰色背景这一句开始都是shellcode的汇编代码

4.jpg

我们只选比较重要的一段
5.jpg

3,分析火绒的抓取特征
经过分段测试火绒抓取的是这一段


6.jpg

4,达到效果
既然已经知道抓取特征,那么我们只要在其特征之中添加混淆指令即可,比如 push,pop,mov等
测试

7.jpg

8.jpg


测试视频



上一篇:依靠 Windows Defender | LockBit 勒索软件通过 Microsoft 安全工具侧面加载 Cobalt Strike
下一篇:宝塔前台RCE复现+分析(1click)

最近更新

随机推荐