红尘毒酒,一经入喉,再难回头。
项目地址:https://github.com/ShadowMccc/MemoryEvasion
大致意思是在加载shellcode之前使用minihook挂钩Sleep,CreateProcessA,CreateHeap,GetProcessHeap函数以便对抗检测
这个项目是笔者在一月左右看到的,当时测试时已经无法bypass,不过问题不大,简单修改一下,首先是拆解成payload和加载器,代码如下:
再对shellcode简单的套一层XOR编码器,代码如下:
简单编译一下,生成两个文件,一个是编码器,一个是加载器
将CS生成的beacon.bin放置在同目录下,双击编码器就会生成XOR编码后的shellcode文件,接下来测试一下效果如何。
WDF自然是使用最新的库,首先更新了一下本地的Defender,确保是防护OK的
丢个裸cs马试一下
当场抓获,说明防护正常,接下来拿上面改好的加载器验证一下
使用的话:
1.将beacon.bin放置XorEnecode.exe同目录下,运行XorEnecode.exe生成beacon_encrypted.bin
2. 命令行中执行 SleepObfLoader.exe beacon_encrypted.bin 即可
CS上线,虽然加载器是一月修改的,过了六个月时间,效果依然坚挺
挂机半小时再看,这个时间有点不太对
效果还不错
一直没掉,这里其实证明了WDF从内存侧一直没扫到CS,已经完全绕过防护了。
原文始发于微信公众号(JC的安全之路):聊聊一种简单bypass WDF的方法
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论