onedaybook
  • 关于这个博客
  • C2工具原理分析
    • C2工具原理分析:从生成shellcode到上线CS服务器全过程
  • DevilC2工具开发
    • 关于这个项目
  • Rootkit工具开发
  • EvilLoader工具开发
  • 免杀
    • 问鼎免杀之路
      • 序言
      • 第一章-基础
        • 0-基础
        • 1-PE的相关数据结构
        • 2-WindowsAPI
        • 3-混淆加密
        • 4-特征修改
        • 5-分离
        • 6-转换
        • 7-保护
      • 第二章-执行与注入技术
        • 0-创建线程注入(CreateThread Injection)
        • 1-创建纤程注入(CreateFiber Injection)
        • 2-创建远程线程注入(CreateRemoteThread Injection)
        • 3-创建堆注入(HeapCreate Injection)
        • 4-创建线程池注入(CreateThreadpoolWait Injection)
        • 5-进程镂空注入(Process Hollowing Injection)
        • 6-DLL镂空注入(DLL Hollowing Injection)
        • 7-DLL劫持注入(涉及白加黑)
        • 8-映射注入(Mapping Injection)
        • 9-MapViewOfFile+NtMapViewOfSection
        • 10-挂钩注入(SetWindowsHookEx Injection)
        • 11-注册表注入
        • 12-设置上下文劫持注入(SetContext Hijack Injection)
        • 13-剪贴板注入(Clipboard Injection)
        • 14-突破session 0远程线程注入
        • 15-枚举RWX区域注入
        • 16-APC注入(APC Injection)
        • 17-APC & NtTestAlert Injection
        • 18-APC劫持
        • 19-Early Bird
        • 20-基于资源节加载shellcode
        • 21-内核回调表注入(KernelCallbackTable Injection)
        • 22-自举的代码幽灵——反射DLL注入(Reflective DLL Injection)
        • 23-内存申请总结
        • 24-移动或复制shellcode总结
        • 25-shellcode执行总结
      • 第三章-防御规避
        • 0-动态获取API函数(又称隐藏IAT)
        • 1-重写ring3 API函数
        • 2-自定义 String 哈希算法
      • 第四章-武器化
        • 0-Windows Shellcode开发
        • 1-Windows Shellcode开发(x86 stager)
        • 2-Windows Shellcode开发(x64 stager)
        • 3-Linux Shellcode开发(Stager & Reverse Shell)
        • 4-非PEB获取ntdll和kernel32模块基址的精妙之道
        • 5-从SRDI原理剖析再到PE2Shellcode的实现
      • 第五章-主动进攻
      • 第六章-社工钓鱼
    • 随笔
      • 0-用哥斯拉插件零基础免杀上线msf和cs
      • 1-新版RDI
      • 2-新新版RDI
  • 权限提升
  • 数字取证/应急响应
  • 工具二开
    • 哥斯拉二开
      • 环境准备
  • 代码审计
  • PWN
    • ret2text
    • ret2shellcode
    • ret2syscall
    • ret2libc1
    • ret2libc2
    • ret2libc3
Powered by GitBook
On this page
  • 一、RtlMoveMemory
  • 二、memcpy
  • 三 、逐字节复制
  1. 免杀
  2. 问鼎免杀之路
  3. 第二章-执行与注入技术

24-移动或复制shellcode总结

Previous23-内存申请总结Next25-shellcode执行总结

移动或复制shellcode是shellcode注入中的第二步,相对于第一步和第二步它的重要性没有那么高,杀软也不会在这里投入过多的关注,究其原因是我们可以自实现逐字节复制,AV/EDR想监控都无从下手。

在本节中我只介绍最基本也最常用的几个方法,分别是 RtlMoveMemory、memcpy、逐字节复制

⚠注意:

  1. 在shellcode注入中一定要分清是注入本进程还是远程进程。

  2. 这里并不讨论使用Nt或Zw类型的API,也不讨论系统调用。

一、RtlMoveMemory

官方文档:

RtlMoveMemory:函数可以将源内存块的内容复制到目标内存块。这也是在windows编程,特别是免杀中用的比较多的一个函数,相对来说免杀效果差一点。

语法

void RtlMoveMemory(
   void*       Destination,
   const void* Source,
   size_t      Length
);

二、memcpy

官方文档:

memcpy 将shellcode复制到指定内存区域。

语法

void * memcpy ( void * destination, const void * source, size_t num );

三 、逐字节复制

由于逐字节复制实在太过简单,直接看代码吧

BOOL mymemcpy(void* dst, void* src, SIZE_T size) {

	// 参数有效性校验
	if (!dst || !src || size == 0) {
		SetLastError(ERROR_INVALID_PARAMETER);
		return FALSE;
	}

	// 转换成BYTE* 类型的指针,这样可以按字节复制
	PBYTE Dst = (PBYTE)dst;
	PBYTE Src = (PBYTE)src;

	// 逐字节复制
	for (size_t i = 0; i < size; ++i) {
		Dst[i] = Src[i];
	}

	return TRUE;
}
rtlMoveMemory 宏 (wdm.h) - Windows drivers | Microsoft Learn
cplusplus.com/reference/cstring/memcpy/?kw=memcpy