关于Hades
工具要求
git clone https://github.com/f1zm0/hades && cd hadesmake工具使用
接下来,我们就可以将生成的可执行文件拷贝到x64 Windows主机中,并使用下列命令来运行Hades:
.hades.exe [options]我们可以使用-h选项来查看工具的帮助信息:
PS > .hades.exe -h'||' '||' | '||''|. '||''''| .|'''.||| || ||| || || || . ||.. '||''''|| | || || || ||''| ''|||.|| || .''''|. || || || . '||.||. .||. .|. .||. .||...|' .||.....| |'....|'version: dev [11/01/23] :: @f1zm0Usage:hades -f <filepath> [-t selfthread|remotethread|queueuserapc]Options:-f, --file <str> Shellcode文件路径(默认.bin)-t, --technique <str> 要使用的注入技术,包括[selfthread, remotethread, queueuserapc]工具使用样例
使用queueuserapc技术注入Shellcode并执行calc.exe:
.hades.exe -f calc.bin -t queueuserapc工具使用演示
使用系统调用RAV排序绕过用户模式钩子(NtQueueApcThread挂钩frida-trace和自定义Handler): 使用间接系统调用实现指令回调绕过(注入的DLL来源于jackullrich的syscal-detect): 杂项-直接系统调用版本
在最新发布版本中,直接系统调用功能被替换成了acheron提供的间接系统调用。出于某些原因,你可能想要使用之前的加载器版本(使用直接系统调用),那么你需要显式地将direct_syscalls标签传递给编译器,编译器将决定在构建过程中需要包含或排除哪些文件:
GOOS=windows GOARCH=amd64 go build -ldflags "-s -w" -tags='direct_syscalls' -o dist/hades_directsys.exe cmd/hades/main.go许可证协议
本项目的开发与发布遵循GPL-3.0开源许可证协议。 项目地址
Hades:https://github.com/f1zm0/hades 原文始发于微信公众号(FreeBuf):Hades:一款整合了多种规避技术的Go Shellcode加载器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论