走在時代前沿的前言 哈囉各位,我是 CX330。 如果還沒有看過這篇文章的(上)的可以先去看一下,在(上)裡面我們介紹了使用網頁伺服器作為階段式部署的工具,今天我們要介紹使用 Windows 登錄檔(Windows registry,中國譯為註冊表)來做到這件事! 今天的內容會主要分為兩個大部分,第一個部分是把加密或是混淆過的 Payload 寫進登錄檔,第二部分會從登錄檔讀取 Payload,並解密然後執行它。 那我們開始吧! 完整程式碼可於此處找到:https://black-hat-zig.cx330.tw/Advanced-Malware-Techniques/Payload-Staging/windows_registry/ 疊甲 中華民國刑法第 362 條:「製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術,旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者,切勿使用所學到的知識與技術從事任何違法行為! Zig 版本 本系列文章中使用的 Zig 版本 ...
走在時代前沿的前言 嗨大家,昨天真的是好險,我在 23:57 分 57 秒才送出,實在是超級驚險。 那昨天跟大家介紹了 Payload 的執行方式,包括使用 Shellcode 執行或是載入 DLL 的方式。不過我們到目前為止,實作的方式都是直接把 Payload 放在我們的 Binary 裡面,雖然這樣很快速,但是常常會有一些限制(如大小限制等)。所以我們今天會來介紹另一種把 Payload 部署進程式的方式,我把它稱作階段式的 Payload 部署(Payload staging)。 那本文會分為上下兩篇,上篇會介紹一種利用網頁伺服器(Web server)來載入的方式,下篇會介紹使用 Windows 註冊表的方式。那就開始囉。 完整程式碼可於此處找到:https://black-hat-zig.cx330.tw/Advanced-Malware-Techniques/Payload-Staging/web_server/ 疊甲 中華民國刑法第 362 條:「製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元 ...
走在時代前沿的前言 早安大家,現在是早上 5 點,我是 CX330。待會有個比賽所以很怕寫不完,先熬夜寫一點起來(T^T)。 昨天介紹了 Windows 作業系統中的進程與線程,也深入的看了一下 PEB 和 TEB 兩個結構體。今天要來看一下 Payload 通常是如何被執行的。我們會繼續使用 Zig 程式語言實作兩種不同的執行方式,那就廢話不多說,讓我們開始今天的訓練吧蜥蜴們! 對了,今天的範例都可以在這個專案中找到,可以去看完整的程式碼。 疊甲 中華民國刑法第 362 條:「製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術,旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者,切勿使用所學到的知識與技術從事任何違法行為! Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 透過 DLL 執行 我們要介紹的第一種方式,是當 Payload 作為一個 DLL 而存在的時候會執行的方式。 由於先前一直沒有好好介紹動態連結函式庫(Dynamic-Lin ...
走在時代前沿的前言 嗨大家好,我又回來了。昨天我們已經一起實作了一個好用的加密和混淆器,不知道大家對 Zig 這個語言的感受如何,歡迎留言和我分享。 今天的內容會是講一下 Windows 的進程和線程,以及各自對應的一些神奇結構體。 開始囉! 疊甲 中華民國刑法第 362 條:「製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術,旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者,切勿使用所學到的知識與技術從事任何違法行為! Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 進程與線程 在 Windows 中,一個進程(Process)是運行在 Windows 電腦中的某個程式(Program)或是應用程式(Application)。進程可以被使用者給開啟,也可以被系統本身所啟動。在完成任務的過程中會去消耗系統資源,如記憶體、硬碟、中央處理器等等。 一個進程會由單個或是多個的線程(Thread)所組成,線程是一坨可以在進程裡獨立執行的指令的集合, ...
走在時代前沿的前言 嗨大家!歡迎大家來到第 11 天的內容,恭喜我們度過了 10 天大關! 前天和昨天我們介紹了很多關於 Payload 的加密和混淆的手法,那在今天我們就會使用這些加密和混淆的手法,去實作一個幫助 Payload 加密和混淆的 CLI 工具啦! 那我們廢話不多說,開始囉! 疊甲 中華民國刑法第 362 條:「製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術,旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者,切勿使用所學到的知識與技術從事任何違法行為! Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 ZYPE 介紹 你一定很好奇,ZYPE 是什麼呢?沒錯,就是我們今天要做的工具啦!這個東西其實是我之前就寫好了並開源放在 GitHub 上的,歡迎大家點進來這裡按星星。 那我先來介紹一下這個工具的使用方式吧!一開始,我們可以先用 MSFvenom 幫我們產生一個 Shellcode,等等會用來加密或混淆。這邊我們先產生一個用來在 ...
走在時代前沿的前言 嗨大家,我 CX330。 我明天和後天都各還有一個死線,希望今天可以早點寫完,真可怕,果然還是要囤文章比較不會累死。 昨天已經介紹了 XOR、RC4 跟 IP 位址混淆,今天要來介紹 AES 加密、MAC 位址混淆和 UUID 混淆。如果還沒有看過上一篇的可以先去閱讀一下,那就讓我們開始吧! 疊甲 中華民國刑法第 362 條:「製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術,旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者,切勿使用所學到的知識與技術從事任何違法行為! Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 AES 加密 我們在這邊會提供一種方式去實作,就是使用 Windows 的 bcrypt.h API。 另外,礙於篇幅,我有使用另外兩種方式實作,會放在這邊。是利用 Zig 標準函式庫和 TinyAES 專案去實作,如果有興趣歡迎去閱讀按星星。 AES 分別根據金鑰長度的不同,分為 AES128、AES19 ...
走在時代前沿的前言 早安午安晚安,我是 CX330。我們昨天看了 PE 文件的格式,把整個 PE 文件的架構都介紹了一遍。今明兩天呢,我們要來看一下前幾天介紹過的 Shellcode 會以什麼樣的形式存在在程式碼裡面,會經過什麼樣的加密或是混淆等。 這個主題會分成上下兩篇,礙於篇幅,會把加密跟混淆的部分散佈在兩篇。由於不是密碼學相關的主題,不會深入加密的算法,主要是會介紹很多種加密和混淆的手法,因此範例程式碼會偏多。那就讓我們開始吧! 疊甲 中華民國刑法第 362 條:「製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術,旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者,切勿使用所學到的知識與技術從事任何違法行為! Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 XOR 加密 XOR 是最簡單的加密方式,Payload 的每一個字節都會與一個 Key 進行 XOR 運算。解密也是使用相同的那把 Key。雖然如果知道了 Key 就可以很輕鬆的還 ...
走在時代前沿的前言 欸完蛋了啦現在已經晚上六點了,我一個字都還沒動。 嗨大家好我 CX330,昨天帶大家深入的看了一下窗戶的 API,今天我們就要來詳細聊聊前幾天提到的 PE 文件格式。今天沒什麼時間聊天了,就直接開始吧! 疊甲 中華民國刑法第 362 條:「製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術,旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者,切勿使用所學到的知識與技術從事任何違法行為! Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 PE 檔案簡介 PE 格式(Portable Executable)是專屬於 Microsoft Windows 的一個文件格式,它會告訴系統如何載入和運行這個檔案等等。每個可執行檔都共享一個叫做 COFF(Common Object File Format)的通用格式,而 PE 格式就是這種 COFF 格式之一。常見的後綴名稱包括但不限於以下: .exe .dll .scr .sys PE ...