Skip to content

Remote Download and Memory Execute for shellcode framework

Notifications You must be signed in to change notification settings

9bie/exe2shellcode

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

9 Commits
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Repository files navigation

RmExecute

Remote Download and Memory Execute for shellcode framework

远程下载并内存加载的ShellCode框架,已经支持x64

参(抄)考(袭)项目

主要抄袭来源,直接使用这位大佬的shellcode框架,并且强烈推荐看下他文章内的doc,分析的非常好

windows api hashing部分直接搬过来的

准备抄袭

效果图

bypassAV

How to use

开箱即用

修改ShellCode.cpp->StartSCode函数中的host和path改为您的域名和木马文件即可,之后使用Release模式运行,即会在目录下生成123.bin文件,之后使用EXE_RUN_MT模式编译运行即可加载123.bin文件

或是自行调用123.bin文件

添加API

使用目录下的Get-FunctionsHash.ps1脚本添加API HASH到hash.h

计算HASH

之后在API.H中添加相关WINAPI 函数指针,作为搜索地址后调用的方式,之后在API.H->FUNCTIONS结构体中添加相关成员

之后在Tool.h->RmExecute::Initfunctions函数中调用

char szUser32[] = { 'u', 's', 'e', 'r', '3', '2', '.', 'd', 'l', 'l', 0 };
pfn->fnLoadLibraryA(szUser32);
pfn->fnMessageBoxA = (pfnMessageBoxA)GetProcAddressWithHash(HASH_MessageBoxA);

搜索函数来加载WINAPI。

之后就可以使用 fn.fnMessageBox(0, "text", "text", MB_OK);这样形式来调用winapi了。

字符串相关

参考第一个引用的文章链接,字符串必须要使用{'a','b','\0'};这样子的立即数形式

进阶 (很快)

使用XOR加密字符串

隐藏loadlibrary特征和url特征,更不容易被发现

反射DLL加载技术

完全不使用LoadLibrary,ProcessExplorer、procexp64等工具无法检测到这个dll,同时让程序变得模块化

纯shellcode加载

太奢侈了我就是想想

About

Remote Download and Memory Execute for shellcode framework

Resources

Stars

Watchers

Forks

Releases

No releases published

Packages

No packages published