一个简单申请包括iis劫持,无文件木马,shellcode免杀后台的工具

功能列表

1. HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩

2. 内存免杀shellcode检测(metasploit、Cobaltstrike完全检测)

3. 可疑进程检测(主要针对有逃避性质的进程[如过期签名与多可执行段])

4. 文件名指向木马检测(检测所有指定内存木马)

5. 简易rootkit检测(检测证书过期/拦截读取/证书无效的驱动)

6. 检测异常模块，检测绝大部分如“iis劫持”的后续模块

檢測原理

        所有所谓的内存免杀之后大部分基于“VirtualAlloc”函数申请内存之后通过各种莫名其妙的xor命令aes加密去图标shellcode达到“免杀”效果。本工具通过线程堆栈回溯方法(StackWalkEx函数)遍历线程,寻找位于VirtualAlloc区域的代码,这样即使它很常见也会被误认为是程序申请VirtualAlloc分配内存。但大部分普通程序均不会在VirtualAlloc区域内执行代码。一般都是在.text区段内执行代码。

识别原理

所有文件均指向一个PE文件，主要特征如下：

1. 内存段有MZ标志

2. 线程指向一个NOIMAGE内存，本工具将会通过第一种方式检测出“无文件落地木马”

检测原理

        本工具将会为所有带签名的程序的模块并且其中检测模块的不存在则发出提示。本检测模块不存在且未被正确识别，但将会为被生成的IIS安全模块

https://github.com/huoji120/DuckMemoryScan

原文始发于微信公众号（TtTeam）：Hvv - 内存马检测工具