文章总结: 本文介绍了一种利用QR码隐写技术分离shellcode的方法,旨在提高免杀与隐蔽性。核心流程包括将shellcode分块封装为数据包,利用ZXing库生成高容错的QR码图片,以及在loader端扫描解码并重组数据。该技术为绕过流量检测提供了新思路,文中附带了编码与解码的C++实现代码及源码地址,具有较高实战参考价值。 综合评分: 83 文章分类: 红队,免杀,安全工具,实战经验
 { // 读取文件到内存,获取完整文件数据 vector<uint8_t> fileData = readFileToMemory(inputFile);
// 计算总块数,向上取整避免数据遗漏 size_t totalChunks = (fileData.size() + QRUtils::CHUNK_PAYLOAD_MAX - 1) / QRUtils::CHUNK_PAYLOAD_MAX;
// 创建输出目录,确保QR码有存储路径 FileUtils::createDirectory(outputDir);
// 分割数据块并批量生成QR码 vector<vector<uint8_t>> chunks = splitIntoChunks(fileData, QRUtils::CHUNK_PAYLOAD_MAX); for (size_t i = 0; i < chunks.size(); ++i) { // 为当前数据块创建规范数据包 vector<uint8_t> packet = createPacket(chunks[i], totalChunks, i, fileData.size(), FileUtils::getFileName(inputFile));
// 生成QR码并按规范命名保存(Qr0000.png格式) stringstream ss; ss << outputDir << )
解码
解码逻辑可直接集成到loader的ReadFile流程中,核心是读取指定目录下的QR码文件,解码提取数据包,按顺序重组数据,最终恢复原始shellcode,具体步骤如下:
QR码文件扫描:批量扫描指定输入目录下所有以“Qr*.png”命名的QR码文件,筛选出有效待解码文件。
QR码解码:逐个加载QR码图像,解码后提取出二进制数据包,跳过解码失败的文件。
数据包解析:从解码后的数据包中,提取总块数、块索引、原始文件大小、文件名、数据块等关键信息,验证数据包合法性。
数据块排序:根据提取的块索引,对所有有效数据块进行排序,确保按原始文件的分块顺序重组。
文件重组:将排序后的所有数据块拼接整合,按照原始文件大小和文件名,恢复出原始shellcode文件,完成解码流程。
代码如下:
void Decoder::decodeFiles(const string& inputDir) { // 查找输入目录下所有符合规范的Qr*.png文件 vector<string> qrFiles = findQRFiles(inputDir); if (qrFiles.empty()) { cout << "No QR code files found in " << inputDir << endl; return; }
// 存储解码后的所有数据块(键:块索引,值:数据块内容) vector<pair<size_t, vector<uint8_t>>> chunks; size_t totalChunks = 0; size_t origSize = 0; string fileName;
// 逐个解码QR码文件,提取数据包 for (const string& filePath : qrFiles) { // 解码当前QR码,获取二进制数据包 vector<uint8_t> packet = decodeQRCode(filePath); if (packet.empty()) { cout << "Failed to decode " << filePath << endl; continue; }
// 解析数据包,提取关键信息 size_t chunkIndex; vector<uint8_t> payload; parsePacket(packet, totalChunks, chunkIndex, origSize, fileName, payload);
// 存储当前数据块及其索引 chunks.emplace_back(chunkIndex, payload); cout << "Decoded chunk " << chunkIndex << " from " << filePath << endl; }
// 按块索引排序,确保重组顺序正确 sort(chunks.begin(), chunks.end(), [](const auto& a, const auto& b) { return a.first < b.first; });
// 重组原始文件并保存 if (!chunks.empty()) { reassembleFile(chunks, origSize, fileName); cout << "Decoding completed. Reassembled file: " << fileName << endl; } else { cout << "No valid chunks decoded." << endl; }}
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:DeepDark Sec 明天 明天《利用QR技术隐写shellcode》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论