在看雪上逛时,看到了一篇翻译文章:《sRDI — Shellcode反射式DLL注入技术》(https://bbs.kanxue.com/thread-278642.htm),瞬间有点熟悉有点陌生,翻到前面的又看了一遍,熟悉的上头。看那篇翻译的是2017年的东西,我是2020年接触到这个的,差距还是挺大的。
这项技术被发表出来后,被国家层面的apt组织使用,绕过了很多的EDR,确实非常地牛逼。随着对抗的加剧,这应是常态了,不了解不清楚肯定是不行的。
2020年时,我应该对sRDI反射型注入以及DLL反射型注入进行了完整、详细地阐述,可以去看那篇文章(下面的三)学习下,那里面我进行了非常全面的介绍,从dll反射型注入到shellcode反射型注入进行了研究性条理性的介绍,虽然很难,但我力争用我的语言简明地说透,这是我一贯的风格。
文章写得越来越多,有时我都不记得有哪些,温故而知新很重要。今天,这里整理一个点:Exe/Dll/C#/ShellCode间转换,罗列出来了,直接点击超链接跳转阅读。
一是EXE to DLL:《Exe To Dll》;
二是DLL to EXE:《Dll To Exe 转化工具》;
三是DLL to shellcode:《反射型DLL注入工具-sRDI》;
四是PE to shellcode:《工具Pe2shc (Pe to Shellcode) 的源码级分析》(上、中、下);
五是C# to shellcode:《工具:C#程序转换ShellCode利器》;
就整理到这里吧,sRDI还是很难的,否则也不会被apt组织来运用到攻击中,但你必须要懂,因为这是国家安全的需要。
原文始发于微信公众号(MicroPest):Exe/Dll/C#/ShellCode间转换
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论