Написание Windows Shellcode на Rust

[top]

Обзор проекта​

Проект Windows шеллкода находится внутри shellcode/, он может быть встроен в PE-файл только в секции .text с и не имеет внешних зависимостей.

Затем мы можем сдампить секцию .text и добавить некоторые патчи, чтобы сделать его независимым от позиции. Эта идея взята из проекта hasherezade masm_shc.

Как build'ить​

(Проверено на Win10 x64)

Билдим бинарный shellcode​

rustup default nightly-x86_64-pc-windows-msvc
cd shellcode/
cargo build --release

Если все пойдет хорошо, мы получим shellcode\target\x86_64-pc-windows-msvc\release\shellcode.exe

Сдампить секцию .text и сделать несколько патчей​

Мы патчим начало секции .text, заставляем переходить к точке входа. Таким образом, мы можем хранить некоторые строки в объединенной секции, или мы должны использовать массив байтов u8 и u16 в стеке для представления строки.

cd ..
cargo run

Получим shellcode\target\x86_64-pc-windows-msvc\release\shellcode.bin, это финальный файл шеллкода.

Тестируем шеллкод​

Протестируйте шеллкод, используя ваш любимый загрузчик шеллкода, лично я использую свой небольшой инструмент rs_shellcode.

git clone https://github.com/b1tg/rs_shellcode
cd rs_shellcode/
cargo build
./target/debug/rs_shellcode.exe -f "shellcode\target\x86_64-pc-windows-msvc\release\shellcode.bin"

Этот демонстрационный shellcode отобразит всплывающее окно сообщения и напишет нечто в лог, используя OutputDebugStringA. Вы можете проверить это в debugview или windbg.

Рекомендации​

• https://github.com/mcountryman/min-sized-rust-windows
• https://github.com/hasherezade/masm_shc
• https://github.com/Trantect/win_driver_example
• https://not-matthias.github.io/kernel-driver-with-rust/
• https://github.com/pravic/winapi-kmd-rs
• https://github.com/johnthagen/min-sized-rust

автор @b1tg

 

[DildoFagins]

Ну, я думаю на сишечке и плюсах все уже умеют делать шеллкодесы, но открою вам страшную тайну: это можно делать и на D в режиме betterC и на Nim.

 

[kerberos]

Не знаю мне Rust нравится, по моему для малвары как раз то что надо...

 

[weaver]

еще бы на питоне делал, нормальные люди на ассемблере пишут, а не на скриптах как нубасы.
хотя с тебя что взять.

Не важно на каком языке, в конечном итоге он транслируется в машинный код. Обычно на Си пишут, не на ассемблере. Выделяют нужные опкоды итд. А по поводу ассемблера тут еще можно похоливарить за трансляторы какой лучше...

 

[kasual63]

Не знаю мне Rust нравится, по моему для малвары как раз то что надо...

Но ты же не кодер

 

[JackJ]

Но ты же не кодер

Любой человек, которого интересует плотно и давно кодинг, может считаться кодером.
Лучше не начинать ссору в стиле "ты не кодер-ты наVisual Basic всё делаешь".

 

[kasual63]

Любой человек, которого интересует плотно и давно кодинг, может считаться кодером.
Лучше не начинать ссору в стиле "ты не кодер-ты наVisual Basic всё делаешь".

Он не программист
Не занимается программированием
Не пишет программы
Не разрабатывает софт
Я не знаю как еще сказать чтобы ты понял о чем я

 

[premiumcat]

еще бы на питоне делал, нормальные люди на ассемблере пишут, а не на скриптах как нубасы.
хотя с тебя что взять.

вот хорошая статья о том как делать шеллкоды на сишечке, берем 2010 студию и погнали https://forum.reverse4you.org/t/shellcode-windows-0x01/685
я понимаю зачем это делать на ассемблере, если ты понимаешь ассемблер, мыслишь и знаешь как не делать говнокод на нем - делай!
но если ты чувак без выдающихся способностей в нем, а делать нужно - то делай так как в статье. я вижу что тебе она будет полезна.

 

[kerberos]

Он не программист
Не занимается программированием
Не пишет программы
Не разрабатывает софт
Я не знаю как еще сказать чтобы ты понял о чем я

Я как раз и кодер, это ты хз кто...

 

[kasual63]

Я как раз и кодер, это ты хз кто...

Ок
Я просто думал что ты заказчик из-за того как ты рассуждал на тему кроссплатформенного кода на го,бинари которого должны запускаться на любой системе когда подразумевалось что оно должно компилироваться на любой поддерживаемой го системе (+ты сам кодеров ищешь вооооот)

 

[arnis777]

Ок
Я просто думал что ты заказчик из-за того как ты рассуждал на тему кроссплатформенного кода на го,бинари которого должны запускаться на любой системе когда подразумевалось что оно должно компилироваться на любой поддерживаемой го системе (+ты сам кодеров ищешь вооооот)

А я заметил что ты во всех темах языком трепешь по чем зря.....