前言

搬运一下自己博客文章，分享一下，其实里面还有很多细节，特别是TEB和PEB通过hash查询函数的方法，我还是有点云里雾里，只知道个大概，而且没成功复现过，有兴趣的大佬可以指点一下要是有理解错的地方也请指出原文地址：https://cz.caozhexxgweb.cn/?id=139
今天来分析一下这个vshll的shellcode加载器，首先我们导出bin，文件本地很小只有1kb，
因为是汇编，所以直接拖入ida查看即可
入口

因为是shellcode，所以代码先保存了寄存器和空间 复制代码 隐藏代码push r.. × 8保存所有通用寄存器，防止被后续破坏。lea rbp,0x298]sub rsp,0x398 在原来栈顶以下再开 0x398 字节的大栈帧。后面所有局部变量/拼字符串都放这里。

sub_45C函数

先说一下，这函数主要是通过函数hash来查找出这个函数的虚拟地址，这里的726774Ch就是kernel32.dll里的LoadLibraryA。
我们进去sub_45C函数，想按F5发现F5大法失败了，说是要设置语言但实际不行，可能出bug了，只能硬着头皮看汇编了

起始部分
复制代码 隐藏代码mov rax, rsp暂存当前栈顶地址到 RAX，方便直接在红区里写数据。mov 8], rbxmov 10h], rbpmov 18h], rsimov 20h], rdi把调用的 4 个寄存器存在栈指针下方的红区（未改变RSP他就bu不保存了）。看样子是比平时一个个 push 更快。（其实我也不知道这样的设计的意义是什么）push r14额外保存 R14（后面要当循环计数器）。sub rsp, 10h腾出 0x10 字节的局部变量区，IDA 叫 var_18。

起始后的栈指针
内容栈指针存的 rbx/rbp/rsi/rdi← RSP+0x0var_18 (16 B)← RSP-0x10保存的 r14← RSP-0x18
取得 PEB 与第一模块（重点）

从刚刚开始我就一直好奇一个事情，就是我们可以看到这个exe的导入表都是空，那么怎么执行外部函数的呢

这里简单带一下TEB和PEB的知识（网上都有）

主要是我不知道mov rax, qword ptr gs:loc_5C+4是什么查了一下才豁然开朗。TEBTEB是每个线程都有，保存 TLS、异常链、自旋计数等纯线程级信息。通过 GS（x64）或 FS（x86）直接寻址。PEB每个进程 1 份，被所有线程共享。字段很多，但最常用的是：PEB->Ldr → PEB_LDR_DATA：维护已加载模块链表。PEB->ProcessParameters：命令行、环境变量。指向主进程堆、TLS 位图、异常处理列表、调试标志
也就是说他这里只要拿到 PEB，不调用任何 WinAPI 就能做到下面的操作：枚举出 kernel32.dll、ntdll.dll 等在 内存中的真实基址；解析它们的导出表，手动拿到 LoadLibraryA、GetProcAddress 等地址；进而做到免IAT、免明文字符串免API调用监控，做到免杀的效果。（但这个木马已经被杀烂了）
==下面借用一下别人的说明==
Windows 每个进程的 PEB（Process Environment Block） 中有一个字段 PEB->Ldr。
Ldr 里有三条双向链表：
InLoadOrderModuleList
InMemoryOrderModuleList　← 本函数用的
InInitializationOrderModuleList
每个节点不是简单结构，而是大号 LDR_DATA_TABLE_ENTRY，里面既有链表指针，也记录 DLL 的各种信息。
重要偏移（Win10 x64 常见布局）：字段偏移作用InMemoryOrderLinks0x20当前链表的 LIST_ENTRYDllBase0x30模块基址（HMODULE）BaseDllName0x58UNICODE_STRING，DLL 文件名（不含路径）InMemoryOrderModuleList 是循环链表：最后一个节点再指向 Ldr 里的头结点哑元；哑元的 DllBase 字段恒为 0。==上面借用一下别人的说明==
我们继续看代码 复制代码 隐藏代码; 获取 PEBmov rax, gs:[0x60]; TEB → PEB（= qword ptr gs:loc_5C+4）; 保存调用参数mov ebp, ecx; 把目标哈希存进 EBP，后面循环都要用; 计数寄存器清零xor r14d, r14d; r14d = 0，既代表“false”也当循环计数起点; 走到 Ldr 模块链表mov rdx, 0x18] ; RDX = PEB->Ldrmov r8,0x10] ; R8= Ldr->InMemoryOrderModuleList.Flink;（链表第 1 个 LDR_DATA_TABLE_ENTRY）
接下去的代码就是不断循环查找链表然后计算hash是否和入参一致（忽然发现F5大法恢复了，瞬间舒服了）
一共有两个return
return 0就说明已把所有模块都扫完，都没有这个函数，然后返回说明错误了cmp , r14 → jz loc_54C这边做的比较然后跳到loc_54C把EAX置0
return v6，也就是循环的下一个模块的基址，v6在循环的时候就被定义了。
复制代码 隐藏代码; 0x0495外层循环取模块基址mov r9, 30h]; R9 ← DllBase→ v6 = v5[6]; 0x0519函数名哈希命中后lea eax, cmp eax, ebpjzloc_52E ; 跳到构造返回值; 0x052E计算最终地址mov eax, 24h]; AddressOfNameOrdinalsadd rax, r9 ; ↑ 这里 r9 仍为 DLL 基址…mov eax, 4]; Function RVAadd rax, r9 ; RAX = r9 + RVA→ 返回
获取函数基指

了解了sub_45C我们看看很清楚了，他获取了一堆函数，然后吧基指放在了rbp中，有的也直接放在了r13、r15等寄存器里 复制代码 隐藏代码mov ecx, call sub_45Cmov, rax
对照后续调用可以推断出大致映射（直接问ai了）：保存位置真实 API用途rbx（第二次）socket/WSASocketA创建 TCP socketr13connect连接远程主机rsisetsockopt 或 select调整 sock 参数rdisend发送握手数据r15recv下载主体数据VirtualAlloc申请可执行内存closesocket收尾清理r14sprintf / _snprintf字符串拼装…（其余为 Sleep、GetVersion, VirtualProtect 等）
调用部分

准备回连

最后将调用获取函数

上报

下面调用了很多次的rdi也就是发送送握手数据，来发送设备的识别码 = 0x20343677 → "w64 4"；紧跟空格和 0 组成 w64 64。告诉 C2 这是 Windows-64 位客户端。
加载大马

最后就是加载大马的部分

木马整体流程

到这里整体流程已经被摸清楚了
启动与栈帧准备入口只做两件事：保存全部通用寄存器，防止被破坏；在 RSP 下方一次性开 0x398 字节大栈帧，供后续拼接字符串和存放临时数据。
动态解析 API自带的 sub_45C 函数按“ROR-13 + 大小写无关”遍历 PEB 中所有模块的导出名哈希。仅凭 32 位哈希值就能拿到 LoadLibraryA、socket、connect、recv、VirtualAlloc 等真实地址，完全省掉了明文字符串。（但是没有用，还是杀爆）
加载必需 DLL利用刚解析出的 LoadLibraryA 动态加载 user32.dll, ws2_32.dll, msvcrt.dll，用作网络通信、字符串处理、内存管理
一次性解析所有关键 API将 socket / connect / send / recv / VirtualAlloc / closesocket / _snprintf … 等 API 地址分别保存到寄存器或栈槽里，后面直接调用。
拼接关键字符串C2 地址：硬编码字节组合成 xxx.xxx.xxx.141，端口 55841。客户端指纹："w64 "。日志文件名：log_.ed。这些都用 _snprintf 现场拼出，避免静态特征。
建立 TCP 连接并上报信息socket(AF_INET, SOCK_STREAM) → connect 到 C2。依次 send 客户端指纹、日志名等，完成“注册/握手”。
申请可执行内存VirtualAlloc(NULL, 0x1C9C380 ≈ 30 MB, MEM_COMMIT, PAGE_EXECUTE_READWRITE) 为后续载荷准备 RWX 缓冲区。
循环下载并异或解密每次 recv 0x64000 字节。对收到的数据逐字节 XOR 0x99 写回缓冲区。循环直到 recv 返回 < 要求长度（服务器主动断流）。
收尾并执行载荷closesocket 关闭连接。直接 call 指向缓冲区首地址 → 跳入已解密