点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
🌟简介
使用C++和MASM x64的复杂、隐蔽的基于Windows的凭据转储程序。
免责声明
历史上能够(现在仍然可能)绕过
-
Windows Defender
-
Malwarebytes反恶意软件
-
CrowdStrike Falcon EDR(Falcon Complete + OverWatch)
特征
通过使用各种手段避免检测,例如:
-
通过间接系统调用手动实现NTAPI操作
-
禁用 中断遥测功能(即ETW)
-
通过编译时哈希生成的多态性
-
混淆API函数名和指针
-
复制现有LSASS句柄而不是打开新句柄
-
创建LSASS进程的离线副本以执行内存转储
-
正在破坏已删除文件的
MDMP签名 -
可能还有别的我忘了说的
egatives
-
仅适用于x64架构
-
依赖于目标系统上现有的已打开LSASS句柄
-
不要指望这是永远无法检测到的。
项目地址
https://github.com/Meowmycks/LetMeowIn?tab=readme-ov-file原文始发于微信公众号(SecHub网络安全社区):Defender免杀木马生成shellcode框架
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论