免杀Packer框架开发-先知社区

成品

https://github.com/Arcueld/EvasionPacker

前言

项目花了几天边玩边写整出来的有很多没有抽出来的函数和合并函数项目结构可能比较混乱后面有时间可能会改(

大体架构分析

为了实现一个有效的Shellcode免杀框架，我们将框架拆解成以下几个核心模块，并对每个模块进行详细设计：

shellcode处理

该模块负责处理Shellcode 我们可以通过不同的方式载入Shellcode 如写死在.data段分离加载远程拉取

内存分配

该模块负责分配

private

属性或者

mapped

属性的内存给RW权限解密shellcode

执行方式

该模块负责提供多种执行Shellcode的方式

杂项

该模块包括一些辅助功能，如反调试、反虚拟化等技术

配置与控制

由于该框架作为一个Packer工具，需要具备一定的灵活性来适应不同的需求。因此，框架将通过

config.h

文件来管理全局变量和配置项

struct.h

则配置一些结构,枚举增加可读性

GUI

让AI梭了一个出来用的pyqt 用python的原因是

shellcode

处理部分好写

执行方式

我们先看执行方式部分

首先定义了一个结构包含地址和长度两个成员

执行方式的枚举

通过

ExecuteShellcode

函数进行

shellcode

的执行

ExecuteShellcode的实现如下通过判断枚举进入具体的执行方法

后续有扩展需求只需添加枚举创建对应的函数实现即可

函数内关键的封装是

DynamicInvoker

类如配置了syscall 则走syscall的实现否则动态获取nt函数调用

静态方法

Invoke

是模板方法接收

函数地址 hash

和对应

参数

这里以

NtProtectVirtualMemory

为例

适用模板来指定返回值类型在此是

NTSTATUS

传递了

NtProtectVirtualMemory

的地址和hash后传入调用

NtProtectVirtualMemory

的具体参数

判断全局变量

isSyscall

的状态决定是否走

syscall

如果

syscall

没有获取到

ssn

则动态调用函数

这里syscall的实现基于开源项目

https://github.com/evilashz/PigSyscall

该项目是poc 多次调用在解密的时候会因为多次解密导致执行失败

加个判断防止重复解密

内存分配

第一个

NtAllocateVirtualMemoryStruct

对应private属性

第二个

NtMapViewOfSection

对应mapped属性

第三个

ModuleStomping

对应image属性只能跑小的shellcode

shellcode处理

暂时只写了本地和分离没写远程拉取

加密部分只提供了

XOR RC4 AES

感觉意义不大就只提供了三种

SGN调用及加密部分在py实现

分离加载使用

lsb

隐写入随机生成的图片名称可自定义

杂项

defender的专项对抗使用

https://github.com/hfiref0x/UACME/blob/master/Source/Shared/windefend.c

只是把里面的WindowsAPI全替换成了动态调用

还有一些常见的反沙箱技术

使用编译时加密隐藏一些字符串

配置与控制

基于

config.h

的全局变量来判断

python直接模板替换

效果

用的calc的shellcode测试静态还算看得过去吧