能力值:
( LV13,RANK:1760 )
|
-
-
2 楼
没人占沙发,偶来占... 看了下blog 很赞...
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
MARK一下,blog的确很赞~
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
ShellCode从来都是自己写的表示,blog的确很赞~
|
能力值:
( LV15,RANK:360 )
|
-
-
5 楼
自己也冒个泡
|
能力值:
( LV3,RANK:20 )
|
-
-
6 楼
很详细.,标记一下
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
还是略麻烦。另外,x64也不需要汇编混合编译,参考ReflectiveDLLInjection。根据那工程,可以改个shell版的dll loader,shellcode就直接写dll即可。
#pragma intrinsic( _ReturnAddress )
ReflectiveLoader
{
...
uiLibraryAddress = caller();
...
#ifdef WIN_X64
uiBaseAddress = __readgsqword( 0x60 );
#else
#ifdef WIN_X86
uiBaseAddress = __readfsdword( 0x30 );
#else WIN_ARM
uiBaseAddress = *(DWORD *)( (BYTE *)_MoveFromCoprocessor( 15, 0, 13, 0, 2 ) + 0x30 );
#endif
#endif
...
}
|
能力值:
( LV15,RANK:360 )
|
-
-
8 楼
累 不写了...
|
能力值:
( LV13,RANK:1760 )
|
-
-
9 楼
清理一下 F1
|
能力值:
( LV13,RANK:1760 )
|
-
-
10 楼
清理一下 F2
|
能力值:
( LV13,RANK:1760 )
|
-
-
11 楼
清理一下 F3
|
能力值:
( LV15,RANK:360 )
|
-
-
12 楼
目前内存加载应用的时候可能存在的问题
dll里面有SEH
恶意代码为了实现多协议 TCP UDP DNS ICMP http 其中UDP通讯 为了用UDP稳定的传输大文件 用了UDT的库
UDT的库里面大量使用throw来抛出异常
或者说shellcode 用了BPE32 做了一下多态 BPE32使用SEH做自解密
单纯做dll内存加载没有问题(自己写EXE设置为不兼容dep)
做白利用的时候
白exe+恶意dll+shellcode.bin(是一个纯shellcode或者dll2shellcode的内存加载)
其中白EXE 默认兼容DEP(VS2003之后默认都有safeseh+兼容DEP设置) 由于safeseh的关系
你的黑dll(读进来dll2shellcode的 支持多协议的恶意代码主体 内存加载后跑一会 ) 由于safeseh配合dep的关系EXE进程就退出了
求指教 怎么能做更完善的内存加载避免被safeseh配合DEP强行终止进程
我试过 使用SetProcessDEPPolicy 或者ntsetinformationprocess也无法避免safeseh 配合dep强行终止进程的问题
因为内存加载使用的是堆上的内存并且内存区间还不在.text段申请的堆内存的区域
除非你在编译的时候把exe那个不兼容DEP的选项勾选上或者你就是一段纯shellcode 放在.text段。
但是为了在UAC存在的情况下做启动项exe一定要是白的。没有办法用自己的不兼容DEP的exe
|
能力值:
( LV13,RANK:1760 )
|
-
-
13 楼
清理一下 F4
|
能力值:
( LV15,RANK:360 )
|
-
-
14 楼
清理一下6
|
能力值:
( LV13,RANK:1760 )
|
-
-
15 楼
,UDT你们不嫌体积大了点吗? 不过话说回来,要自己实现一个健壮的可靠传输UDP库还是挺复杂的
|
能力值:
( LV15,RANK:360 )
|
-
-
16 楼
清理一下5
|
能力值:
( LV13,RANK:1760 )
|
-
-
17 楼
清理一下 F5
|
能力值:
( LV15,RANK:360 )
|
-
-
18 楼
清理一下4
|
能力值:
( LV13,RANK:1760 )
|
-
-
19 楼
清理一下 F6
|
能力值:
( LV15,RANK:360 )
|
-
-
20 楼
清理一下3
|
能力值:
( LV13,RANK:1760 )
|
-
-
21 楼
清理一下 F7
|
能力值:
( LV15,RANK:360 )
|
-
-
22 楼
清理一下2
|
能力值:
( LV13,RANK:1760 )
|
-
-
23 楼
清理一下 F8
|
能力值:
( LV15,RANK:360 )
|
-
-
24 楼
清理一下
|
能力值:
( LV15,RANK:360 )
|
-
-
25 楼
版主看看 能不能把我们清理一下的回复给删掉 或者怎么删掉啊 留着总是不好看的样子
|
|
|