前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >painLoader 加载器(无疫烦)

painLoader 加载器(无疫烦)

作者头像
黑伞安全
发布2023-03-03 15:02:36
2700
发布2023-03-03 15:02:36
举报
文章被收录于专栏:黑伞安全

开发这款木马加载器(PainLoader)的初衷是我最近这段时间闲的蛋疼

其实主要是最近这段时间自己经历了一些比较难受的事情(Emm,说实话,很难受),为了转移自己的注意力,让自己能稍微缓一缓(但是,没什么效果,反而还更糟心了)。

木马使用的是CS中的CS远程上线功能。为了使木马的体积尽可能缩小,使用了C++进行木马源码的编写,之后再进行打包编译,最后把木马大小控制在30k以内。

这个木马是第一版。在代码实现功能上应该没有问题,但是代码写的有点菜,这里就不放出来了,因为代码暂不开源的原因,涉及到C2上线地址的问题,我能想到的两种解决方案如下:

第一种方法:在PainLoader本目录下,把C2地址进行加密后存储在文件里,PainLoader会自动读取那个文件的加密字符串,在内存里对密文进行解密,得到正确的字符串。这样的好处是在没有解密密钥的情况下,被攻击者无法对密文进行解密,能更好的隐藏C2地址。但是坏处也是有的,就是我们需要向被害者传输2个文件,并且要求这两个文件在同一个目录下。

第二种方法:把C2地址作为变量传输进去。这种方法比较方便,只需要在木马程序后面添加C2地址即可。但是这个方法也存在弊端,就是只能在cmd窗口执行exe程序,把C2地址传入,不能双击运行上线。

两种方法各有取舍,我会把这两个程序分别打包,大家可以根据自己的情况进行选择。

在后期测试的过程中,火绒,腾讯管家,趋势的动静态检测目前均能绕过。

加密C2地址的方法能正常绕过360的检测

Cmd传参版本360在经过几次修改特征码和修改执行方式中发现,生成exe文件后第一次运行能正常绕过,但是十几分钟后就已经被标识为木马程序了。可恶,后面有时间再做绕过吧。

下载地址https://github.com/PDWR/painLoader

还有一件事情,就是哪位师傅知道C++怎么动态生成exe程序,Emmm,就是像RAT工具那样直接build出来agent程序的,想知道原理,希望师傅们能带带我,加一下我微信(请备注来源:黑伞攻防实验室),请师傅们不吝赐教。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-08-06,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 黑伞安全 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档