shellcode持久化工具 SharpEventPersist

admin

103521
文章

87
评论

2023年5月11日13:35:23评论50 views字数 882阅读2分56秒阅读模式

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。

0x01 工具介绍

通过从事件日志中写入/读取 shellcode 来实现持久化。

0x02 安装与使用

harpEventPersist 工具采用 4 个区分大小写的参数：

-file "C:pathtoshellcode.bin"-instanceid 1337-source Persistence-eventlog "Key Management Service".

shellcode 转换为十六进制并写入“密钥管理服务”，事件级别设置为“信息”，源为“持久性”。

运行 SharpEventLoader 工具从事件日志中获取 shellcode 并执行它。理想情况下，这应该转换为 DLL 并在程序启动/启动时侧载。

如果未使用默认值运行，请记住更改加载程序中的事件日志名称和 instanceId。

默认值将留下以下工件：

1、一个新的密钥将被写入名为“Persistance”的 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLogKey Management Service。2、这个新的“Persistance”键将没有默认键“KmsRequests”所具有的提供程序 GUID 或 TypesSupported。这可用于构建检测。