![NixImports:一款功能强大的.NET代码程序加载工具]( "NixImports:一款功能强大的.NET代码程序加载工具")
关于NixImports
NixImports是一款功能强大的.NET代码程序加载工具,该工具专为恶意软件研究人员或安全分析专家设计,可以帮助我们对恶意软件或系统安全进行研究和分析。值得一提的是,该工具使用了API哈希和动态调用技术来规避静态分析检测。
工具运行机制
NixImports使用了HInvoke项目来实现API-Hashing,并能够在运行时动态解析大多数被调用的函数。为了解析函数,HInvoke需要两个哈希,即typeHash和methodsHash。这俩哪个哥哈希代表了类型名称和方法全名,并能够在运行时让HInvoke解析整个mscorlib以找到匹配的类型和方法。
NixImports另一个有趣的特性是,它会尽可能去避免调用已知的方法,通过使用内部方法,我们可以避开一些安全工具使用的基本钩子和监控机制。
工具下载
由于该工具基于纯C#开发,因此我们首先需要在本地设备上安装并配置好最新版本的Visual Studio工具环境。
接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:
然后打开Visual Studio,将项目导入后进行代码编译后构建即可。
工具使用
当前版本的NixImports仅需要我们提供一个.NET源代码的文件路径,即可开始封装和加载任务:
NixImports.exe <filepath>
此时,工具会在当前根目录下自动生成一个名为Loader.exe的新的可执行程序,这个Loader.exe可执行文件包含了我们编码后的Payload,以及运行它所需要的其他代码。
许可证协议
项目地址
https://github.com/dr4k0nia/NixImports
【
原文始发于微信公众号(FreeBuf):NixImports:一款功能强大的.NET代码程序加载工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2086323.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论