工具

https://github.com/monoxgas/sRDI
https://github.com/0xCuSO4/DHLYK
http://www.downxia.com/downinfo/30809.html

大灰狼2022.zip

瑾特供版,功能有些残缺,比如不能直接生成服务(exe)

DLL转shellcode

image.png
首先用大灰狼生成一个dll
查看一下它的Dllmain
image.png
随后我们用dll转shellcode的工具生成一下
image.png

这里已经生成了bin格式的shellcode,有些分离免杀加载器便可执行

这里我们把bin文件转成C
image.png

会在同目录下生成同名.c文件

image.png

我们将其shellcode提取出来

image.png

写一个简单的32位的加载器

image.png

这时候发现上线成功 当然这个加载器不免杀,连静态火绒都过不了 但是可以结合其他免杀加载器方式

而且我觉得语音监听和视频监控都比较合适找到嫌疑犯 留下证据 cs可能没有这个方便

一键化脚本

https://github.com/delimitry/bin2c

  1. import wx
  2. import os
  4. class MyFileDropTarget(wx.FileDropTarget):
  5.     def __init__(self, window):
  6.         """Constructor"""
  7.         wx.FileDropTarget.__init__(self)
  8.         self.window = window
  10.     def OnDropFiles(self, x, y, filenames):
  11.         # print(filenames[0])
  12.         self.window.bjk1.SetValue(filenames[0])
  16. class Frame(wx.Frame):
  17.     def __init__(self):
  18.         wx.Frame.__init__(self, None, title='', size=(532, 110),name='frame',style=541072384)
  19.         self.qdck = wx.Panel(self)
  21.         self.Centre()
  22.         file_drop_target = MyFileDropTarget(self)
  23.         self.bjk1 = wx.TextCtrl(self.qdck,size=(313, 33),pos=(30, 17),value='',name='text',style=0)
  24.         self.bjk1.SetDropTarget(file_drop_target)
  25.         self.an1 = wx.Button(self.qdck,size=(98, 29),pos=(397, 18),label='运行',name='button')
  26.         self.an1.Bind(wx.EVT_BUTTON,self.an1_anbdj)
  29.     def an1_anbdj(self,event):
  30.         os.system(f"python ConvertToShellcode.py -f fuckyou -i -c {self.bjk1.GetValue()}")
  31.         binfile=self.bjk1.GetValue().replace('.dll', '.bin')
  32.         # print(binfile)
  33.         os.system(f"python bin2c.py {binfile}")
  35. class myApp(wx.App):
  36.     def  OnInit(self):
  37.         self.frame = Frame()
  38.         self.frame.Show(True)
  39.         return True
  41. if __name__ == '__main__':
  42.     app = myApp()
  43.     app.MainLoop()

一键化优化版本压缩包:

image.png
转出shellcode,bin,hex和powershell格式

dist.zip

内存特征扫描

https://github.com/VirusTotal/yara

从内存中提取特征来制造一个扫描器

image.png
多找几个特征以免产生误报

比如一个进程中含有多个杀软名字

yara扫描规则

  1. rule HunterRule {
  2.     meta:
  3.         // KEY = "VALUE"
  4.         description ="大灰狼远控"
  5.     strings:
  6.         // name = "string"
  7.         $a1="www.jinjin.com"
  10.         $b1 = "BaiduSdSvc.exe."
  11.         $b2 = "S-U.ServUDaemon.exe"
  12.         $b3 = "DUB.exe"
  13.         $b4 = "1433.exe"
  14.         $b5 = "S.exe"
  15.         $b6 = "pfw.exe"
  16.         $b7 = "MPMon.exe"
  17.         $b8 = "360tray.exe"
  18.         $b9 = "AVWatchService.exe"
  19.         $b10 = "QQ.exe"
  20.         $b11 = "TrojanHunter.exe"
  21.         $b12 = "Norton.ccapp.exe"
  22.         $b13 = "AVWatchService.exe"
  23.         $b14 = "cleaner8.exe"
  24.         $b15 = "ad-watch.exe"
  25.         $b16 = "safedog.exe"
  26.         $b17 = "FYFireWall.exe"
  28.     condition:
  29.         all of ($a*) and 10 of ($b*)
  30. }

包含特征a和十个特征b

image.png

  1. #遍历扫描一下,可以优化,但是效果达到了
  2. import os
  3. import psutil
  5. def main():
  6.     print("开始扫描内存")
  7.     pids=psutil.pids()
  8.     for pid in pids:
  9.         try:
  10.             os.system(f"yara64.exe dhl.yar {pid}")
  11.             except:
  12.                 pass
  14.             if __name__ == '__main__':
  15.                 main()
  16.     print("扫描完成")