Shellcode生成、加载与加密技术全解析：从原理到实践<\/h1>

一、Shellcode概述<\/h2>
Shellcode是一种恶意代码，它通过劫持计算机内存中正在运行的程序的正常流程，重定向流程以执行恶意代码而非正常程序，从而为攻击者提供shell或系统访问权限。Shellcode通常是结合漏洞利用的低级编程代码或机器代码。<\/p>

Shellcode特征<\/h3>

包含执行所需shell的所有指令，同时保持相对较小的体积<\/li>
在内存中"位置独立" - 无法预知将加载到目标进程内存的具体位置<\/li>
不包含可能导致错误或崩溃的内容（如空字符0x00）<\/li>

能够使用注入技术（代码或反射注入）搭载现有内存分配<\/li> <\/ol>

二、Shellcode生成<\/h2>

Shellcode执行过程分为四步：<\/p>

打开目标进程<\/li>
在进程中分配内存<\/li>
将shellcode写入分配的内存<\/li>

从远程进程创建新线程执行Shellcode<\/li> <\/ol>

攻击者需要根据目标系统选择适当的可执行文件类型：<\/p>

Windows系统：.EXE或.DLL<\/li>
Linux系统：.ELF<\/li>

Android系统：.APK<\/li> <\/ul>

三、Shellcode存放位置<\/h2>

1. .data节<\/h3>

PE文件的.data节包含已初始化全局变量和静态变量，可读写，适合需要运行时解密\/加密的shellcode。<\/p>

示例代码：<\/p>

#include<\/span> <Windows.h><\/span>
<\/span><\/span><\/span>#include<\/span> <stdio.h><\/span>
<\/span><\/span><\/span><\/span>
<\/span><\/span>unsigned<\/span> char<\/span> Data_RawData[] =<\/span> {
<\/span><\/span>    \/\/ shellcode字节数组
<\/span><\/span><\/span><\/span>};
<\/span><\/span>
<\/span><\/span>int<\/span> main<\/span>() {
<\/span><\/span>    printf("[i] Data_RawData 变量 : 0x%p <\/span>\n<\/span>"<\/span>, Data_RawData);
<\/span><\/span>    getchar();
<\/span><\/span>    return<\/span> 0<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>2. .rdata节<\/h3>
使用const限定符指定的变量为"只读"数据，任何修改尝试会导致访问冲突。<\/p>
示例代码：<\/p>
const<\/span> unsigned<\/span> char<\/span> Rdata_RawData[] =<\/span> {
<\/span><\/span>    \/\/ shellcode字节数组
<\/span><\/span><\/span><\/span>};
<\/span><\/span><\/code><\/pre>3. .text节<\/h3>
.text节存储具有可执行内存权限的变量，可直接执行而无需编辑内存权限。<\/p>
示例代码：<\/p>
#pragma section(".text")
<\/span><\/span><\/span><\/span>__declspec<\/span>(allocate(".text"<\/span>)) const<\/span> unsigned<\/span> char<\/span> Text_RawData[] =<\/span> {
<\/span><\/span>    \/\/ shellcode字节数组
<\/span><\/span><\/span><\/span>};
<\/span><\/span><\/code><\/pre>4. .rsrc节<\/h3>
.rsrc节适合存储较大的shellcode，避免.data或.rdata节的大小限制。<\/p>
存储步骤：<\/p>

在Visual Studio中添加资源文件<\/li>
导入重命名为.ico扩展名的原始shellcode<\/li>
指定资源类型为"RCDATA"<\/li>
<\/ol>
访问.rsrc节中shellcode的API：<\/p>

FindResourceW - 获取资源位置<\/li>
LoadResource - 检索资源数据句柄<\/li>
LockResource - 获取资源数据指针<\/li>
SizeofResource - 获取资源大小<\/li>
<\/ul>
更新.rsrc节shellcode的方法：<\/p>

使用HeapAlloc分配内存<\/li>
用memcpy将shellcode复制到临时缓冲区<\/li>
在新缓冲区中进行解密等操作<\/li>
<\/ol>
四、Shellcode加载技术<\/h2>
语言开发Loader比较<\/h3>



语言<\/th>
可移植性<\/th>
编译大小<\/th>
执行速度<\/th>
检测难度<\/th>
特点<\/th>
<\/tr>
<\/thead>


Rust<\/td>
★★☆☆☆<\/td>
★★★★☆<\/td>
★★★★★<\/td>
静态: ★★★☆☆动态: ★★★★☆<\/td>
体积略大于C\/C++，无GC，免杀潜力大<\/td>
<\/tr>

Go<\/td>
★★★★★<\/td>
★☆☆☆☆<\/td>
★★★★☆<\/td>
静态: ★★★☆☆动态: ★★★☆☆<\/td>
编译后体积大(数MB)，运行时特征明显<\/td>
<\/tr>

C\/C++<\/td>
★★☆☆☆<\/td>
★★★★★<\/td>
★★★★★<\/td>
静态: ★★☆☆☆动态: ★★★★☆<\/td>
体积最小(几十KB)，直接系统调用能力强<\/td>
<\/tr>

C#<\/td>
★★★☆☆<\/td>
★★★☆☆<\/td>
★★★☆☆<\/td>
静态: ★☆☆☆☆动态: ★★★☆☆<\/td>
结合D\/Invoke后检测率降低<\/td>
<\/tr>

汇编<\/td>
☆☆☆☆☆<\/td>
★★★★★<\/td>
★★★★★<\/td>
静态: ★★★★★动态: ★★★★★<\/td>
体积最小，完全自定义，编写难度最高<\/td>
<\/tr>
<\/tbody>
<\/table>
加载方法<\/h3>
1. 基于内存加载<\/h4>
使用WinAPI系统调用动态分配RWX内存，移动shellcode并启动执行线程。<\/p>
优点：<\/p>

使用标准WinAPI调用，可靠性高<\/li>
内存区域可执行、可写、可读，便于修改shellcode<\/li>
<\/ul>
缺点：<\/p>

容易被成熟的AV\/EDR系统检测<\/li>
<\/ul>
2. 直接函数调用加载<\/h4>
将shellcode数组地址强制转换为函数指针并调用。<\/p>
3. 使用回调函数加载<\/h4>
通过Windows回调函数执行Shellcode，系统将shellcode当作回调函数运行。<\/p>
4. 创建线程执行加载<\/h4>
创建新线程并将入口点设置为shellcode地址。<\/p>
5. 基于汇编加载<\/h4>
直接控制硬件，效率最高，但完全针对特定CPU架构和操作系统。<\/p>
五、Shellcode加密技术<\/h2>
加密可隐藏恶意代码，使安全解决方案更难检测，并延长恶意软件在系统中的隐藏时间。<\/p>
加密的利弊<\/h3>

优点：规避基于签名的检测<\/li>
缺点：高熵值文件可能被AV\/EDR标记为可疑<\/li>
<\/ul>
加密类型<\/h3>
1. XOR异或加密<\/h4>
异或运算特性：<\/p>

反转性质：a XOR b XOR b = a<\/li>
交换律：a XOR b = b XOR a<\/li>
结合律：(a XOR b) XOR c = a XOR (b XOR c)<\/li>
<\/ul>
2. RC4加密<\/h4>
流密码，速度快且高效，使用同一函数进行加密和解密。<\/p>
实现函数：<\/p>

rc4Init - 初始化rc4context结构<\/li>
rc4Cipher - 执行RC4加密<\/li>
<\/ul>
示例代码：<\/p>
\/\/ RC4加密示例
<\/span><\/span><\/span><\/span>rc4Init(&<\/span>rc4Ctx, key, sizeof<\/span>(key));
<\/span><\/span>rc4Cipher(&<\/span>rc4Ctx, shellcode, shellcodeSize);
<\/span><\/span>
<\/span><\/span>\/\/ RC4解密示例
<\/span><\/span><\/span><\/span>rc4Init(&<\/span>rc4Ctx, key, sizeof<\/span>(key));
<\/span><\/span>rc4Cipher(&<\/span>rc4Ctx, encryptedShellcode, shellcodeSize);
<\/span><\/span><\/code><\/pre>3. AES加密<\/h4>
对称密钥算法，类型包括：<\/p>

AES128 - 128位密钥<\/li>
AES192 - 192位密钥<\/li>
AES256 - 256位密钥<\/li>
<\/ul>
操作模式：<\/p>

CBC - 需要初始化向量(IV)<\/li>
GCM<\/li>
<\/ul>
AES结构：<\/p>
typedef<\/span> struct<\/span> _AES {
<\/span><\/span>    BCRYPT_ALG_HANDLE hAlgorithm;
<\/span><\/span>    BCRYPT_KEY_HANDLE hKey;
<\/span><\/span>    PBYTE pbKeyObject;
<\/span><\/span>    PBYTE pbIV;
<\/span><\/span>    DWORD cbKeyObject;
<\/span><\/span>    DWORD cbIV;
<\/span><\/span>    DWORD cbBlockLen;
<\/span><\/span>    PBYTE pbPlainText;
<\/span><\/span>    DWORD cbPlainText;
<\/span><\/span>    PBYTE pbCipherText;
<\/span><\/span>    DWORD cbCipherText;
<\/span><\/span>} AES, *<\/span>PAES;
<\/span><\/span><\/code><\/pre>CNG (Cryptographic Next Generation)函数：<\/p>

BCryptOpenAlgorithmProvider - 加载CNG提供程序<\/li>
BCryptGetProperty - 检索属性值<\/li>
BCryptSetProperty - 初始化属性<\/li>
BCryptGenerateSymmetricKey - 创建密钥对象<\/li>
BCryptEncrypt\/BCryptDecrypt - 加密\/解密数据<\/li>
BCryptDestroyKey - 销毁密钥对象<\/li>
BCryptCloseAlgorithmProvider - 关闭算法提供者<\/li>
<\/ul>
六、Shellcode传递技术<\/h2>
1. Web远程文件读取<\/h3>
通过Loader从远程web加载shellcode，避免直接上传工具被拦截。<\/p>
优点：<\/p>

减少对多种工具的免杀需求<\/li>
仅上传Loader降低被检测风险<\/li>
<\/ul>
2. 图片(BMP)隐写术<\/h3>
将Shellcode隐藏在BMP图片的RGB像素中，利用文件结构特性嵌入数据。<\/p>
3. Shellcode加载器<\/h3>
将加载程序与实际Shellcode分离到不同进程空间，避免行为检测。<\/p>
关键点：<\/p>

运行时分析通常不关心程序会做什么<\/li>
避免直接使用函数指针执行解密后的Shellcode<\/li>
使用Loader间接加载和执行Shellcode<\/li>
<\/ul>

语言<\/th>	可移植性<\/th>	编译大小<\/th>	执行速度<\/th>	检测难度<\/th>	特点<\/th> <\/tr> <\/thead>
Rust<\/td>	★★☆☆☆<\/td>	★★★★☆<\/td>	★★★★★<\/td>	静态: ★★★☆☆动态: ★★★★☆<\/td>	体积略大于C\/C++，无GC，免杀潜力大<\/td> <\/tr>
Go<\/td>	★★★★★<\/td>	★☆☆☆☆<\/td>	★★★★☆<\/td>	静态: ★★★☆☆动态: ★★★☆☆<\/td>	编译后体积大(数MB)，运行时特征明显<\/td> <\/tr>
C\/C++<\/td>	★★☆☆☆<\/td>	★★★★★<\/td>	★★★★★<\/td>	静态: ★★☆☆☆动态: ★★★★☆<\/td>	体积最小(几十KB)，直接系统调用能力强<\/td> <\/tr>
C#<\/td>	★★★☆☆<\/td>	★★★☆☆<\/td>	★★★☆☆<\/td>	静态: ★☆☆☆☆动态: ★★★☆☆<\/td>	结合D\/Invoke后检测率降低<\/td> <\/tr>
汇编<\/td>	☆☆☆☆☆<\/td>	★★★★★<\/td>	★★★★★<\/td>	静态: ★★★★★动态: ★★★★★<\/td>	体积最小，完全自定义，编写难度最高<\/td> <\/tr> <\/tbody> <\/table> 加载方法<\/h3> 1. 基于内存加载<\/h4> 使用WinAPI系统调用动态分配RWX内存，移动shellcode并启动执行线程。<\/p> 优点：<\/p> 使用标准WinAPI调用，可靠性高<\/li> 内存区域可执行、可写、可读，便于修改shellcode<\/li> <\/ul> 缺点：<\/p> 容易被成熟的AV\/EDR系统检测<\/li> <\/ul> 2. 直接函数调用加载<\/h4> 将shellcode数组地址强制转换为函数指针并调用。<\/p> 3. 使用回调函数加载<\/h4> 通过Windows回调函数执行Shellcode，系统将shellcode当作回调函数运行。<\/p> 4. 创建线程执行加载<\/h4> 创建新线程并将入口点设置为shellcode地址。<\/p> 5. 基于汇编加载<\/h4> 直接控制硬件，效率最高，但完全针对特定CPU架构和操作系统。<\/p> 五、Shellcode加密技术<\/h2> 加密可隐藏恶意代码，使安全解决方案更难检测，并延长恶意软件在系统中的隐藏时间。<\/p> 加密的利弊<\/h3> 优点：规避基于签名的检测<\/li> 缺点：高熵值文件可能被AV\/EDR标记为可疑<\/li> <\/ul> 加密类型<\/h3> 1. XOR异或加密<\/h4> 异或运算特性：<\/p> 反转性质：a XOR b XOR b = a<\/li> 交换律：a XOR b = b XOR a<\/li> 结合律：(a XOR b) XOR c = a XOR (b XOR c)<\/li> <\/ul> 2. RC4加密<\/h4> 流密码，速度快且高效，使用同一函数进行加密和解密。<\/p> 实现函数：<\/p> rc4Init - 初始化rc4context结构<\/li> rc4Cipher - 执行RC4加密<\/li> <\/ul> 示例代码：<\/p> \/\/ RC4加密示例 <\/span><\/span><\/span><\/span>rc4Init(&<\/span>rc4Ctx, key, sizeof<\/span>(key)); <\/span><\/span>rc4Cipher(&<\/span>rc4Ctx, shellcode, shellcodeSize); <\/span><\/span> <\/span><\/span>\/\/ RC4解密示例 <\/span><\/span><\/span><\/span>rc4Init(&<\/span>rc4Ctx, key, sizeof<\/span>(key)); <\/span><\/span>rc4Cipher(&<\/span>rc4Ctx, encryptedShellcode, shellcodeSize); <\/span><\/span><\/code><\/pre>3. AES加密<\/h4> 对称密钥算法，类型包括：<\/p> AES128 - 128位密钥<\/li> AES192 - 192位密钥<\/li> AES256 - 256位密钥<\/li> <\/ul> 操作模式：<\/p> CBC - 需要初始化向量(IV)<\/li> GCM<\/li> <\/ul> AES结构：<\/p> typedef<\/span> struct<\/span> _AES { <\/span><\/span> BCRYPT_ALG_HANDLE hAlgorithm; <\/span><\/span> BCRYPT_KEY_HANDLE hKey; <\/span><\/span> PBYTE pbKeyObject; <\/span><\/span> PBYTE pbIV; <\/span><\/span> DWORD cbKeyObject; <\/span><\/span> DWORD cbIV; <\/span><\/span> DWORD cbBlockLen; <\/span><\/span> PBYTE pbPlainText; <\/span><\/span> DWORD cbPlainText; <\/span><\/span> PBYTE pbCipherText; <\/span><\/span> DWORD cbCipherText; <\/span><\/span>} AES, *<\/span>PAES; <\/span><\/span><\/code><\/pre>CNG (Cryptographic Next Generation)函数：<\/p> BCryptOpenAlgorithmProvider - 加载CNG提供程序<\/li> BCryptGetProperty - 检索属性值<\/li> BCryptSetProperty - 初始化属性<\/li> BCryptGenerateSymmetricKey - 创建密钥对象<\/li> BCryptEncrypt\/BCryptDecrypt - 加密\/解密数据<\/li> BCryptDestroyKey - 销毁密钥对象<\/li> BCryptCloseAlgorithmProvider - 关闭算法提供者<\/li> <\/ul> 六、Shellcode传递技术<\/h2> 1. Web远程文件读取<\/h3> 通过Loader从远程web加载shellcode，避免直接上传工具被拦截。<\/p> 优点：<\/p> 减少对多种工具的免杀需求<\/li> 仅上传Loader降低被检测风险<\/li> <\/ul> 2. 图片(BMP)隐写术<\/h3> 将Shellcode隐藏在BMP图片的RGB像素中，利用文件结构特性嵌入数据。<\/p> 3. Shellcode加载器<\/h3> 将加载程序与实际Shellcode分离到不同进程空间，避免行为检测。<\/p> 关键点：<\/p> 运行时分析通常不关心程序会做什么<\/li> 避免直接使用函数指针执行解密后的Shellcode<\/li> 使用Loader间接加载和执行Shellcode<\/li> <\/ul>

Shellcode生成、加载与加密技术全解析：从原理到实践<\/h1>

三、Shellcode存放位置<\/h2>

四、Shellcode加载技术<\/h2>

加载方法<\/h3>

2. 直接函数调用加载<\/h4> 将shellcode数组地址强制转换为函数指针并调用。<\/p>

3. 使用回调函数加载<\/h4> 通过Windows回调函数执行Shellcode，系统将shellcode当作回调函数运行。<\/p>

4. 创建线程执行加载<\/h4> 创建新线程并将入口点设置为shellcode地址。<\/p>

5. 基于汇编加载<\/h4> 直接控制硬件，效率最高，但完全针对特定CPU架构和操作系统。<\/p>

五、Shellcode加密技术<\/h2> 加密可隐藏恶意代码，使安全解决方案更难检测，并延长恶意软件在系统中的隐藏时间。<\/p>

加密类型<\/h3>

六、Shellcode传递技术<\/h2>

2. 图片(BMP)隐写术<\/h3> 将Shellcode隐藏在BMP图片的RGB像素中，利用文件结构特性嵌入数据。<\/p>

2. 直接函数调用加载<\/h4>
将shellcode数组地址强制转换为函数指针并调用。<\/p>

3. 使用回调函数加载<\/h4>
通过Windows回调函数执行Shellcode，系统将shellcode当作回调函数运行。<\/p>

4. 创建线程执行加载<\/h4>
创建新线程并将入口点设置为shellcode地址。<\/p>

5. 基于汇编加载<\/h4>
直接控制硬件，效率最高，但完全针对特定CPU架构和操作系统。<\/p>

五、Shellcode加密技术<\/h2>
加密可隐藏恶意代码，使安全解决方案更难检测，并延长恶意软件在系统中的隐藏时间。<\/p>

2. 图片(BMP)隐写术<\/h3>
将Shellcode隐藏在BMP图片的RGB像素中，利用文件结构特性嵌入数据。<\/p>