快捷導(dǎo)航

如何在C語言中提取Shellcode并執(zhí)行

更新時間：2023年12月07日 08:46:03 作者：微軟技術(shù)分享

Shellcode是一種獨立于應(yīng)用程序的機器代碼,通常用于實現(xiàn)特定任務(wù),如執(zhí)行遠程命令、注入惡意軟件或利用系統(tǒng)漏洞,本文將深入探討如何在C語言中提取Shellcode,并通過XOR加密技術(shù)增加其混淆程度,文中通過代碼示例講解的非常詳細,需要的朋友可以參考下

引言

Shellcode是一種獨立于應(yīng)用程序的機器代碼，通常用于實現(xiàn)特定任務(wù)，如執(zhí)行遠程命令、注入惡意軟件或利用系統(tǒng)漏洞。在網(wǎng)絡(luò)安全領(lǐng)域，研究Shellcode是理解惡意軟件和提高系統(tǒng)安全性的關(guān)鍵一環(huán)。本文將深入探討如何在C語言中提取Shellcode，并通過XOR加密技術(shù)增加其混淆程度。最后，我們將演示如何將Shellcode寫入文件并在內(nèi)存中執(zhí)行。

第一步：提取Shellcode

提取ShellCode的主要方法是通過Visual C++編譯器的內(nèi)嵌匯編功能，通過內(nèi)嵌一條offset特殊的匯編偽指令分別得到內(nèi)嵌匯編的開始和結(jié)尾，然后再利用靈活的內(nèi)存拷貝命令即可對編譯后的匯編指令進行動態(tài)的提取工作，當(dāng)提取后直接將其輸出為二進制格式即可，這里提供了兩種提取模式，第一種是直接提取二進制機器碼此類功能可以直接被運行，第二種則是提取unicode格式，通過向ShellCodeStart-ShellCodeEnd提取代碼如下所示。

#include <stdio.h>
#include <Windows.h>

int main(int argc, char* argv[])
{
	DWORD Start, End, Len;
	goto GetShellCode;
	__asm
	{
	ShellCodeStart:
		xor eax, eax
			xor ebx, ebx
			xor ecx, ecx
			xor edx, edx
			int 3
	ShellCodeEnd:
	}

GetShellCode:
	__asm
	{
		mov Start, offset ShellCodeStart
			mov End, offset ShellCodeEnd
	}

	Len = End - Start;
	unsigned char* newBuffer = new unsigned char[Len + 1024];

	memset(newBuffer, 0, Len + 1024);
	memcpy(newBuffer, (unsigned char*)Start, Len);

	// 直接寫出二進制
	FILE* fp_bin = fopen("d://shellcode.bin", "wb+");
	fwrite(newBuffer, Len, 1, fp_bin);
	_fcloseall();

	// 寫出Unicode格式ShellCode
	FILE *fp_uncode = fopen("c://un_ShellCode.txt", "wb+");
	for (int x = 0; x < Len; x++)
	{
		fprintf(fp_uncode, "%%u%02x%02x", newBuffer[x + 1], newBuffer[x]);
	}
	_fcloseall();
	return 0;
}

第二步：XOR加密Shellcode

為了增加Shellcode的混淆性，我們引入異或（XOR）加密技術(shù)。以下是對提取的Shellcode進行異或加密的C代碼：

unsigned char ch;
for (int x = 0; x < Len; x++)
{
  ch = ((unsigned char*)newBuffer)[x];
  ch = ch ^ 10;  // 異或加密
  newBuffer[x] = ch;
}

在這里，我們對Shellcode中的每個字節(jié)都執(zhí)行異或運算，以提高其抵抗分析的能力。

#include <stdio.h>
#include <Windows.h>

int main(int argc, char* argv[])
{
  DWORD Start, End, Len;
  goto GetShellCode;
  __asm
  {
  ShellCodeStart:
    xor eax, eax
      xor ebx, ebx
      xor ecx, ecx
      xor edx, edx
      int 3
      ShellCodeEnd :
  }

GetShellCode:
  __asm
  {
    mov Start, offset ShellCodeStart
    mov End, offset ShellCodeEnd
  }

  Len = End - Start;
  unsigned char* newBuffer = new unsigned char[Len + 1024];

  memset(newBuffer, 0, Len + 1024);
  memcpy(newBuffer, (unsigned char*)Start, Len);

  // 使用異或加密ShellCode
  unsigned char ch;
  for (int x = 0; x < Len; x++)
  {
    ch = ((unsigned char*)newBuffer)[x];
    ch = ch ^ 10;
    newBuffer[x] = ch;
  }

  // 將ShellCode寫出到文件
  FILE* fp = fopen("d://shellcode.txt", "wb+");
  fwrite("unsigned char Buf[] = {", 23, 1, fp);
  for (int x = 0; x < Len; x++)
  {
    if (x % 16 == 0)
      fwrite("\r\n", 2, 1, fp);
    fprintf(fp, "0x%02x,", newBuffer[x]);
  }
  fwrite("\n};", 3, 1, fp);
  _fcloseall();
  return 0;
}

第三步：執(zhí)行Shellcode

最后，我們將動態(tài)讀取Shellcode并在內(nèi)存中執(zhí)行它。以下是實現(xiàn)這一步的C代碼：

#include <stdio.h>
#include <Windows.h>

int main(int argc, char * argv[])
{
  HANDLE fp;
  unsigned char * fBuffer;
  DWORD fSize, dwSize;

  fp = CreateFile(L"d://shellcode.bin", GENERIC_READ, FILE_SHARE_READ, NULL,OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
  fSize = GetFileSize(fp, 0);

  fBuffer = (unsigned char *)VirtualAlloc(NULL, fSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
  ReadFile(fp, fBuffer, fSize, &dwSize, 0);
  CloseHandle(fp);

  __asm
  {
    mov eax,fBuffer
    push eax
    ret
    int 3
  }
  return 0;
}

此段代碼打開文件，將Shellcode讀入內(nèi)存，然后通過匯編代碼執(zhí)行它。這是一個基本的Shellcode執(zhí)行例子，實際上，執(zhí)行Shellcode的方式取決于應(yīng)用場景和操作系統(tǒng)。

總結(jié)

通過這個簡單的實例，我們深入探討了從C語言中提取Shellcode的過程，介紹了XOR加密技術(shù)以提高Shellcode的混淆性，最后演示了如何在內(nèi)存中執(zhí)行Shellcode。理解這些概念對于防范和分析惡意軟件至關(guān)重要，同時也為安全研究提供了有趣而深刻的領(lǐng)域。