介绍
一个简单申请包括iis劫持,无文件木马,shellcode免杀后台的工具
功能列表
-
HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩
-
内存免杀shellcode检测(metasploit、Cobaltstrike完全检测)
-
可疑进程检测(主要针对有逃避性质的进程[如过期签名与多可执行段])
-
文件名指向木马检测(检测所有指定内存木马)
-
简易rootkit检测(检测证书过期/拦截读取/证书无效的驱动)
-
检测异常模块,检测绝大部分如“iis劫持”的后续模块
免杀木马检测原理
所有所谓的内存免杀之后大部分基于“VirtualAlloc”函数申请内存之后通过各种莫名其妙的xor命令aes加密去图标shellcode达到“免杀”效果。本工具通过线程堆栈回溯方法(StackWalkEx函数)遍历线程,寻找位于VirtualAlloc区域的代码,这样即使它很常见也会被误认为是程序申请VirtualAlloc分配内存。但大部分普通程序均不会在VirtualAlloc区域内执行代码。一般都是在.text区段内执行代码。
无文件落地木马检测原理
所有文件均指向一个PE文件,主要特征如下:
-
内存段有MZ标志
-
线程指向一个NOIMAGE内存,本工具将会通过第一种方式检测出“无文件落地木马”
异常模块检测原理
本工具将会为所有带签名的程序的模块并且其中检测模块的不存在则发出提示。本检测模块不存在且未被正确识别,但将会为被生成的IIS安全模块
项目地址
https://github.com/huoji120/DuckMemoryScan
原文始发于微信公众号(菜鸟学信安):内存马检测工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论