记录一下自己从0开始学的过程。写的可能比较啰嗦和抽象,如有错误还请各位见谅。
刚开始学免杀我也有点迷茫,觉得要手搓shellcode。手搓shellcode就要学汇编,但是经过学习后发现并不怎么需要汇编的知识。但是汇编会一点也是好的,不用完全理解只要看到的时候有一点印象就可以了。
正文
思考
首先做免杀我们要先思考一下杀软他是怎么做查杀的.第一时间大部分人应该想到的是,看他的代码从代码特征分析这个程序做了什么事情是不是会对计算机系统做一些存在危害的事情。
要绕过这种查看代码特征我叫他静态免杀。
那么除了这种方式还能有什么方式进行查杀呢?没错还有看行为特征,也就是刚学计算机时经常从别人哪里听到的,遇见不来源的软件丢到虚拟机或者沙箱里面跑一下。一些做动态行为分析的沙箱都是在软件运行之后,查看他做了什么操作来分析的。
要过这个就要做动态免杀。
怎么执行shellcode
想要运行shellcode首先要知道他是什么东西.shellcode是通过软件漏洞注入执行的机器码,通常采用十六进制编码形式(取自百度百科).
那么机器码也就是最早的时候人类向计算机输入的0101 1011这种机器码 只不过被转换成十六进制了.现在ai用的也很方便,拿了一串不知道是什么编码的东西直接问ai.ai会告诉你这玩意大概是什么大概起了什么作用.
那么已经知道了shellcode是机器码,机器码要怎么运行呢?那当然要给他分配线程并且注入到内存.不注入到内存里面cpu就读取不到,注入到内存里面不分配线程cpu读取到了也不会去运行.
那么怎么去给他注入内存并且分配执行线程呢?这个时候就需要一个loader(加载器).
总结
所以经过我们初步的思考,我们知道了shellcode是什么,要怎么运行他.
浙公网安备 33010602011771号