项目简介
Hades 是一个概念验证加载器,它结合了几种规避技术,旨在绕过现代AV / EDR常用的防御机制。
项目描述
用法
最简单的方法可能是使用 make.
git clone https://github.com/f1zm0/hades && cd hades
make
然后,您可以将可执行文件带到 x64 Windows 主机并运行它 .hades.exe [options].
PS > .hades.exe -h'||' '||' | '||''|. '||''''| .|'''.||| || ||| || || || . ||.. '||''''|| | || || || ||''| ''|||.|| || .''''|. || || || . '||.||. .||. .|. .||. .||...|' .||.....| |'....|'version: dev [11/01/23] :: @f1zm0Usage:hades -f <filepath> [-t selfthread|remotethread|queueuserapc]Options:-f, --file <str> shellcode file path (.bin)-t, --technique <str> injection technique [selfthread,
remotethread, queueuserapc]例:
注入生成的外壳代码 calc.exe 使用 队列用户APC 技术:
.hades.exe -f calc.bin -t queueuserapc展示
具有系统调用 RVA 排序的用户模式挂钩旁路 ( NtQueueApcThread 与 弗里达跟踪 和 自定义处理程序 挂钩)
使用间接系统调用的检测回调旁路(注入的 DLL 来自 调用检测 的系统 jackullrich )
附加说明
直接系统调用版本
在最新版本中,直接系统调用功能已被 acheron 提供的间接系统调用所取代 acheron。如果出于某种原因要使用使用直接系统调用的以前版本的加载程序,则需要显式传递 direct_syscalls 标记,编译器将确定需要从构建中包含和排除哪些文件。
GOOS=windows GOARCH=amd64 go build -ldflags "-s -w" -tags='direct_syscalls' -o dist/hades_directsys.exe cmd/h下载地址
项目地址:https://github.com/AabyssZG/WebShell-Bypass-Guide
原文始发于微信公众号(x9sec):结合多种规避技术的 Go shellcode 加载器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论