文件捆绑的“终极形态”:纯Shellcode+白程序Patch

admin
admin
admin
0
文章
0
评论
2026-05-11 05:52:49 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该文档介绍了一种基于纯Shellcode和白程序Patch的文件捆绑技术,通过将恶意PE文件与诱饵文档嵌入合法程序资源节,实现隐蔽释放执行。工具binfileBinder支持任意格式诱饵文件,可绕过主流终端防护软件,并包含自删除和路径伪装机制。文档详细提供了工具使用流程、规避效果及安全声明,强调仅限合法安全测试用途。 综合评分: 82 文章分类: 恶意软件,免杀,红队,内网渗透,安全工具

cover_image

文件捆绑的“终极形态”:纯Shellcode + 白程序Patch

原创

词不达意 词不达意

词不达意安全团队

2026年5月8日 10:13 上海

在小说阅读器读本章

去阅读

文件捆绑技术

文件捆绑释放技术是指将pe程序与任意格式的诱饵文件(如 EXE、PDF、DOC、JPG 等)打包为一个独立的捆绑程序。运行时,捆绑程序会先释放并打开诱饵文件迷惑受害者,同时在后台释放真实载荷到系统目录并执行,最后将自身移动到隐蔽位置(达到自删除效果)。

binfileBinder工具

该工具将PE程序和诱饵文件嵌入白程序(宿主exe)的资源节中,运行时通过Shellcode释放执行,实现隐蔽捆绑和痕迹清理。

shellcode

释放pe程序和诱饵文件逻辑全部纯Shellcode实现功能binfileBinder.bin运行逻辑如下:

运行逻辑

打包完成后,直接运行生成的宿主 EXE(如 crash.exe),观察效果:

  1. 1. 阶段一:恶意 PE 释放到 %PUBLIC% 并执行
  2. 2. 阶段二:诱饵文件生成在当前目录并自动打开
  3. 3. 阶段三:宿主 EXE 消失,出现在 %PUBLIC% 下(随机 .config 文件名)

使用教程

1.白程序Patch 将binfileBinder.bin patch到任意白程序

BinPatch.exe DingTalkUpdater.exe binfileBinder.bin
AddressOfEntryPoint: 0x255FC4
成功: Shellcode 已成功写入 PE 文件入口点位置

2.嵌入选择隐蔽执行程序和诱饵文件 使用encrypt.py嵌入资源,cs.exe为远控文件,简历.pdf为诱饵文档用于迷惑,DingTalkUpdater.exe为被patch后的白文件。

python encrypt.py cs.exe 简历.pdf -d DingTalkUpdater.exe

3.运行效果

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

词不达意安全团队已关注

分享视频

,时长00:28

0/0

00:00/00:28

切换到横屏模式

继续播放

[ ]

进度条,百分之0

播放

00:00

/

00:28

00:28

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

您的浏览器不支持 video 标签

继续观看

文件捆绑的“终极形态”:纯Shellcode + 白程序Patch

观看更多

原创

,

文件捆绑的“终极形态”:纯Shellcode + 白程序Patch

词不达意安全团队已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

工具优势

静态规避效果较佳,最终输出载体为白程序EXE可随意替换,支持任意格式诱饵(EXE、PDF、DOCX 等)。

规避效果

可绕过火绒、Defender、Symantec等终端防护软件,vt效果70/3

纷传介绍

工具文件加入纷传获取,圈子专注红队终端安全对抗、社工钓鱼、免杀冲锋马、内网/域渗透。

圈子往期文件内容如下

  • •冲锋马一键生成工具(一键生成免杀loader)
  • •lnk文件一键生成工具(一键生成免杀钓鱼lnk文件)
  • •bypass内存扫描插件(可绕过火绒、卡巴斯基等杀软内存扫描cs插件)
  • •暗涌在线免杀平台(白文件patch免杀loader(分离、单文件)一键生成平台、支持反沙箱)
  • •bypass任务计划工具(普通权限可添加、钓鱼快速免杀维权)
  • •后渗透工具免杀(petobin,分离加载避免静态落地被秒)
  • •BYOVD攻击一键结束赛门铁克进程
  • •BinPatch免杀工具过国内主流杀软
  • •白影(whiteShadow)自动化白加黑免杀工具v1.0
  • •白影(whiteShadow)自动化白加黑免杀工具v2.0
  • •Windows恶意软件常见API一览(PDF)
  • •Maldev Academy 恶意软件开发完整课程(源码+VM镜像)
  • •SplitRun一款exe免杀工具v1.0
  • •cs4.5二开过火绒内存扫描
  • •binfileBinder文件捆绑工具

重要声明

本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统等目的,一切后果由使用者自行承担,禁止用于任何非法渗透测试,以及无授权违法测试,请遵守中华人民共和国网络安全法。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:词不达意安全团队 词不达意 词不达意《文件捆绑的“终极形态”:纯Shellcode + 白程序Patch》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0