神兵利器 - SharpEventPersist

admin 2022年6月15日16:02:23安全工具评论16 views625字阅读2分5秒阅读模式


        通过从事件日志中写入/读取 shellcode 来持久化。

SharpEventPersist 工具采用 4 个区分大小写的参数:

    -file "C:pathtoshellcode.bin"-instanceid 1337-source Persistence-eventlog "Key Management Service".

        shellcode 转换为十六进制并写入“密钥管理服务”,事件级别设置为“信息”,源为“持久性”。
            运行 SharpEventLoader 工具从事件日志中获取 shellcode 并执行它。理想情况下,这应该转换为 DLL 并在程序启动/启动时侧载。

        如果未使用默认值运行,请记住更改加载程序中的事件日志名称和 instanceId。

默认值将留下以下工件:

  • 一个新的密钥将被写入名为“Persistance”的 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLogKey Management Service。

  • 这个新的“Persistance”键将没有默认键“KmsRequests”所具有的提供程序 GUID 或 TypesSupported。这可用于构建检测。


神兵利器 - SharpEventPersist

神兵利器 - SharpEventPersist


https://github.com/improsec/SharpEventPersist

原文始发于微信公众号(Khan安全攻防实验室):神兵利器 - SharpEventPersist

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月15日16:02:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  神兵利器 - SharpEventPersist http://cn-sec.com/archives/1116420.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: