LYSHARK

摘要： 脱壳修复是指在进行加壳保护后的二进制程序脱壳操作后，由于加壳操作的不同，有些程序的导入表可能会受到影响，导致脱壳后程序无法正常运行。因此，需要进行修复操作，将脱壳前的导入表覆盖到脱壳后的程序中，以使程序恢复正常运行。一般情况下，导入表被分为IAT（Import Address Table，导入地址表）和INT（Import Name Table，导入名称表）两个部分，其中IAT存储着导入函数的地址，而INT存储着导入函数的名称。在脱壳修复中，一般是通过将脱壳前和脱壳后的输入表进行对比，找出IAT和INT表中不一致的地方，然后将脱壳前的输入表覆盖到脱壳后的程序中，以完成修复操作。 阅读全文

摘要： 重定位表（Relocation Table）是Windows PE可执行文件中的一部分，主要记录了与地址相关的信息，它在程序加载和运行时被用来修改程序代码中的地址的值，因为程序在不同的内存地址中加载时，程序中使用到的地址也会受到影响，因此需要重定位表这个数据结构来完成这些地址值的修正。当程序需要被加载到不同的内存地址时，相关的地址值需要进行修正，否则程序运行会出现异常。而重定位表就是记录了在程序加载时需要修正的地址值的相关信息，包括修正地址的位置、需要修正的字节数、需要修正的地址的类型等。重定位表中的每个记录都称为一项（entry），每个entry包含了需要修正的地址值的详细信息，通常是以可变长度数据的形式存储在一个或多个叫做重定位块（relocation block）的数据结构中。 阅读全文

摘要： 导出表（Export Table）是Windows可执行文件中的一个结构，记录了可执行文件中某些函数或变量的名称和地址，这些名称和地址可以供其他程序调用或使用。当PE文件执行时Windows装载器将文件装入内存并将导入表中登记的DLL文件一并装入，再根据DLL文件中函数的导出信息对可执行文件的导入表(IAT)进行修正。 阅读全文

摘要： 导入表（Import Table）是Windows可执行文件中的一部分，它记录了程序所需调用的外部函数（或API）的名称，以及这些函数在哪些动态链接库（DLL）中可以找到。在Win32编程中我们会经常用到导入函数，导入函数就是程序调用其执行代码又不在程序中的函数，这些函数通常是系统提供给我们的API，在调用者程序中只保留一些函数信息，包括函数名机器所在DLL路径。当程序需要调用某个函数时，它必须知道该函数的名称和所在的DLL文件名，并将DLL文件加载到进程的内存中。导入表就是告诉程序这些信息的重要数据结构。一般来说导入表的数据结构如下： 阅读全文

摘要： 节表（Section Table）是Windows PE/COFF格式的可执行文件中一个非常重要的数据结构，它记录了各个代码段、数据段、资源段、重定向表等在文件中的位置和大小信息，是操作系统加载文件时根据节表来进行各个段的映射和初始化的重要依据。节表中的每个记录则被称为`IMAGE_SECTION_HEADER`，它记录了一个段的各种属性信息和在文件中的位置和大小等信息，一个文件可以由多个`IMAGE_SECTION_HEADER`构成。在执行PE文件的时候，Windows 并不在一开始就将整个文件读入内存，PE装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系，只有真正执行到某个内存页中的指令或者访问页中的数据时，这个页面才会被从磁盘提交到内存中，这种机制极大的节约了内存资源，使文件的装入速度和文件的大小没有太多的关系。 阅读全文

摘要： PE结构是`Windows`系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，DOS头是PE文件开头的一个固定长度的结构体，这个结构体的大小为64字节（0x40）。DOS头包含了很多有用的信息，该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件头`IMAGE_DOS_HEADER`的`e_lfanew`字段向下偏移`003CH`的位置，就是真正的PE文件头的位置，该文件头是由`IMAGE_NT_HEADERS`结构定义的，IMAGE_NT_HEADERS是PE文件格式的一部分，它包含了PE头和可选头的信息，用于描述PE文件的结构和属性。 阅读全文

摘要： PE结构是`Windows`系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，在任何一款操作系统中，可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的，在早期DOS操作系统中，是以COM文件的格式存储的，该文件格式限制了只能使用代码段，堆栈寻址也被限制在了64KB的段中，由于PC芯片的快速发展这种文件格式极大的制约了软件的发展。 阅读全文

摘要： 在正常情况下，要想使用`GetProcAddress`函数，需要首先调用`LoadLibraryA`函数获取到`kernel32.dll`动态链接库的内存地址，接着在调用`GetProcAddress`函数时传入模块基址以及模块中函数名即可动态获取到特定函数的内存地址，但在有时这个函数会被保护起来，导致我们无法直接调用该函数获取到特定函数的内存地址，此时就需要自己编写实现`LoadLibrary`以及`GetProcAddress`函数，该功能的实现需要依赖于`PEB`线程环境块，通过线程环境块可遍历出`kernel32.dll`模块的入口地址，接着就可以在该模块中寻找`GetProcAddress`函数入口地址，当找到该入口地址后即可直接调用实现动态定位功能。 阅读全文

摘要： PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等，本次的目标是手工修改或增加节区，并给特定可执行程序插入一段`ShellCode`代码，实现程序运行自动反弹一个Shell会话。 阅读全文

摘要： 在`Windows`操作系统中，动态链接库`DLL`是一种可重用的代码库，它允许多个程序共享同一份代码，从而节省系统资源。在程序运行时，如果需要使用某个库中的函数或变量，就会通过链接库来实现。而在`Windows`系统中，两个最基础的链接库就是`Ntdll.dll`和`Kernel32.dll`。Ntdll.dll是Windows系统内核提供的一个非常重要的动态链接库，包含了大量的系统核心函数，如文件操作、进程和线程管理、内存操作等等。在进程启动时，操作系统会先加载`Ntdll.dll`，并将其映射到该进程的地址空间中。由于`Ntdll.dll`是如此重要，所以任何对其的劫持都是无效的。这也是为什么说在应用层下，无论什么程序都无法修改或替换`Ntdll.dll`的原因。 阅读全文

摘要： 在笔者前几篇文章中我们一直在探讨如何利用`Metasploit`这个渗透工具生成`ShellCode`以及如何将ShellCode注入到特定进程内，本章我们将自己实现一个正向`ShellCode`Shell，当进程被注入后，则我们可以通过利用NC等工具连接到被注入进程内，并以对方的权限及身份执行命令，该功能有利于于Shell的隐藏。本章的内容其原理与`《运用C语言编写ShellCode代码》`中所使用的原理保持一致，通过动态定位到我们所需的网络通信函数并以此来构建一个正向Shell，本章节内容对`Metasploit`工具生成的Shell原理的理解能够起到促进作用。 阅读全文

摘要： ShellCode 的格式化与注入功能在实战应用中也尤为重要，格式化`Shellcode`是指将其转换为可执行的二进制格式，使其能够在内存中运行。注入`Shellcode`是指将格式化的`Shellcode`注入到另一个进程的内存中，以便在该进程中执行，此类功能也可算作`ShellCode`技术的延申功能。 阅读全文

摘要： 动态解密执行技术可以对抗杀软的磁盘特征查杀。其原理是将程序代码段中的代码进行加密，然后将加密后的代码回写到原始位置。当程序运行时，将动态解密加密代码，并将解密后的代码回写到原始位置，从而实现内存加载。这种技术可以有效地规避杀软的特征码查杀，因为加密后的代码通常不会被标记为恶意代码。 阅读全文

摘要： 在笔者前几篇文章中，我们使用汇编语言并通过自定位的方法实现了一个简单的`MessageBox`弹窗功能，但由于汇编语言过于繁琐在编写效率上不仅要考验开发者的底层功底，还需要写出更多的指令集，这对于普通人来说是非常困难的，当然除了通过汇编来实现`ShellCode`的编写以外，使用C同样可以实现编写，在多数情况下读者可以直接使用C开发，只有某些环境下对ShellCode条件有极为苛刻的长度限制时才会考虑使用汇编。 阅读全文

摘要： 在之前的文章中，我们实现了一个正向的匿名管道`ShellCode`后门，为了保证文章的简洁易懂并没有增加针对调用函数的动态定位功能，此类方法在更换系统后则由于地址变化导致我们的后门无法正常使用，接下来将实现通过PEB获取`GetProcAddrees`函数地址，并根据该函数实现所需其他函数的地址自定位功能，通过枚举内存导出表的方式自动实现定位所需函数的动态地址，从而实现后门的通用性。 阅读全文

摘要： Boost ASIO（Asynchronous I/O）是一个用于异步I/O操作的C++库，该框架提供了一种方便的方式来处理网络通信、多线程编程和异步操作。特别适用于网络应用程序的开发，从基本的网络通信到复杂的异步操作，如远程控制程序、高并发服务器等都可以使用该框架。该框架的优势在于其允许处理多个并发连接，而不必创建一个线程来管理每个连接。最重要的是ASIO是一个跨平台库，可以运行在任何支持C++的平台下。本章笔者将介绍如何通过ASIO框架实现一个简单的异步网络套接字应用程序，该程序支持对Socket套接字的存储，默认将套接字放入到一个Map容器内，当需要使用时只需要将套接字在容器内取出并实现通信，客户端下线时则自动从Map容器内移除，通过对本章知识的学习读者可以很容易的构建一个跨平台的简单远控功能。 阅读全文

摘要： 本文将介绍如何将`CMD`绑定到双向管道上，这是一种常用的黑客反弹技巧，可以让用户在命令行界面下与其他程序进行交互，我们将从创建管道、启动进程、传输数据等方面对这个功能进行详细讲解。此外，本文还将通过使用汇编语言一步步来实现这个可被注入的`ShellCode`后门，并以此提高代码通用性。最终，我们将通过一个实际的漏洞攻击场景来展示如何利用这个后门实现内存注入攻击。 阅读全文

摘要： 在笔者上一篇文章中简单的介绍了如何运用汇编语言编写一段弹窗代码，虽然简易`ShellCode`可以被正常执行，但却存在很多问题，由于采用了硬编址的方式来调用相应API函数的，那么就会存在一个很大的缺陷，如果操作系统的版本不统或系统重启过，那么基址将会发生变化，此时如果再次调用基址参数则会调用失败，本章将解决这个棘手的问题，通过`ShellCode`动态定位的方式解决这个缺陷，并以此设计出真正符合规范的`ShellCode`代码片段。 阅读全文

摘要： 在前面的章节中相信读者已经学会了使用`Metasploit`工具生成自己的`ShellCode`代码片段了，本章将继续深入探索关于`ShellCode`的相关知识体系，ShellCode 通常是指一个原始的可执行代码的有效载荷，攻击者通常会使用这段代码来获得被攻陷系统上的交互Shell的访问权限，而现在用于描述一段自包含的独立的可执行代码片段。ShellCode代码的编写有多种方式，通常会优先使用汇编语言实现，这得益于汇编语言的可控性。ShellCode 通常会与漏洞利用并肩使用，或是被恶意代码用于执行进程代码的注入，通常情况下`ShellCode`代码无法独立运行，必须依赖于父进程或是`Windows`文件加载器的加载才能够被运行，本章将通过一个简单的弹窗（MessageBox）来实现一个简易版的弹窗功能，并以此来加深读者对汇编语言的理解。 阅读全文

摘要： 在本节中，我们将介绍如何通过使用`Metasploit`生成加密载荷，以隐藏网络特征。前一章节我们已经通过`Metasploit`生成了一段明文的ShellCode，但明文的网络传输存在安全隐患，因此本节将介绍如何通过生成SSL证书来加密ShellCode，使得网络特征得到隐藏，从而提高后门的生存能力和抵抗网络特征分析的能力。ShellCode 网络特征加密我们采用的是SSL（Secure Sockets Layer），现已被替换为TLS（Transport Layer Security），SSL是一种用于在Web上传输数据的安全协议。它的主要目的是确保在互联网上传输的数据在传递过程中不会被第三方窃取或篡改。SSL加密的原理是通过两个公钥和一个私钥来加密数据。公钥用于加密数据，私钥用于解密数据。在传输过程中，发送者使用接收者的公钥对数据进行加密，接收者使用自己的私钥对数据进行解密。这样，即使在网络上被窃取，数据也无法被第三方解密，从而保证了数据的安全性。 阅读全文

摘要： Metasploit 简称（MSF）是一款流行的开源渗透测试框架，由`Rapid7`公司开发，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。并且该框架还提供了一系列攻击模块和`Payload`工具，可用于漏洞利用、及漏洞攻击。同时软件自身支持多种操作系统平台，包括`Windows、Linux、MacOS`等。直到今天`Metasploit`已成为众多黑客手中渗透攻击的利器，并在安全领域大展身手。 阅读全文

摘要： 选择结构，也称为switch语句，是计算机编程中的一种控制结构，用于根据表达式的值选择不同的执行路径。它允许程序根据表达式的值来决定执行哪个代码块，从而实现多分支选择逻辑。switch语句由一个表达式、多个case标签以及对应的代码块组成。程序会将表达式的值与每个case标签进行匹配，一旦找到匹配的case标签，程序将执行对应的代码块，并继续执行该代码块之后的代码，直到遇到break语句或者switch语句结束。 阅读全文

摘要： 循环语句（for）是计算机编程中的一种基本控制结构，它允许程序按照指定的次数或范围重复执行一段代码块。for循环在处理需要进行迭代操作的情况下非常有用，它使得程序可以更加方便地控制循环的次数。一般来说，for循环由三个部分组成：初始化部分、条件表达式和更新部分，以及一个需要重复执行的代码块。在每次循环迭代开始时，程序首先执行初始化部分，然后检查条件表达式的值，如果为真，则执行代码块，并在每次循环结束后执行更新部分。只要条件表达式为真，for循环就会一直重复执行；一旦条件表达式为假，循环将停止，程序继续执行循环之后的代码。 阅读全文

摘要： 循环语句（While）一种基本控制结构，它允许程序在条件为真的情况下重复执行一段代码块，直到条件为假为止。循环语句在处理需要重复执行的任务时非常有用，它可以让程序更加高效地处理大量数据或者重复性操作。一般来说，While循环由一个条件表达式、一个代码块组成。在每次循环迭代开始时，程序会首先检查条件表达式的值，如果为真，则执行代码块，然后再次检查条件表达式的值。只要条件表达式为真，循环就会一直继续执行；一旦条件表达式为假，循环将停止，程序继续执行循环之后的代码。 阅读全文

摘要： 条件语句，也称为IF-ELSE语句，是计算机编程中的一种基本控制结构。它允许程序根据条件的真假来执行不同的代码块。条件语句在处理决策和分支逻辑时非常有用。一般来说，条件语句由IF关键字、一个条件表达式、一个或多个代码块以及可选的ELSE关键字和对应的代码块组成。条件表达式的结果通常是布尔值（True或False），决定了程序将执行IF代码块还是ELSE代码块。在汇编语言中，条件跳转指令用于根据条件语句的结果在不同的代码块之间跳转，标签用于标记代码块的入口点。通过运用标签与跳转即可构建不同的条件语句，本章将以C语言中条件语句为基础，并使用汇编语言介绍如何实现它们，以让读者能更加深入的理解C语言与汇编语言之间的差异，帮助读者更好的理解并运用汇编语言。 阅读全文