PythonMemoryModule是由Joachim Bauch最初发布的MemoryModule技术的Python ctypes移植。 它利用pefile来解析PE头和ctype。
该工具最初被认为是用作Pyramid模块,通过完全从内存加载python.exe中的dll/exe有效载荷来提供对AV/EDR的规避,但是其他用例也是可能的(IP保护,pyds内存加载,其他隐形技术的衍生产品),所以我决定创建一个专用的repo。
为什么它可以是有用的:
- 它基本上允许完全在Python解释语言中使用MemoryModule技术,允许使用股票签名的python.exe二进制文件从内存缓冲区加载dll,而不需要在磁盘上放置外部代码/库(例如pymemorymodule绑定),这些代码/库可以被AV/EDR标记或引起用户的怀疑。
- 在编译语言中使用MemoryModule技术,加载器将需要在加载器本身中嵌入MemoryModule代码。使用Python解释语言和PythonMemoryModule可以避免这一点,因为代码可以在内存中动态执行。
- 你可以通过动态地在内存中下载、解密和加载应该被隐藏起来的dll来获得某种程度的知识产权保护。请记住,dll仍然可以从内存中恢复和逆向工程,但至少需要攻击者付出更多的努力。
- 你可以加载一个stageless payload dll而不执行注入或shellcode执行。加载过程模拟API(它将磁盘上的路径作为输入),而不实际调用它并在内存中操作。
下载地址:https://github.com/naksyn/PythonMemoryModule
原文始发于微信公众号(网络安全交流圈):工具分享-完全从内存加载DLL和非托管EXE的MemoryModule技术的纯Python实现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论