前言
(这只是一个整合的demo,为了更好的免杀性能,后续会酌情开源到星球)对于PE头的一些变形技术都比较老了。利用哈希校验漏洞感染文件同时不影响签名有效性的POC,在21年就已经披露了,公开利用主要是SigFlip这个项目。我目前造了一下轮子,后续会持续更新进行攻防对抗。(其实更多是个demo,方便诸位自定义)后续希望把对于PE文件的利用手法都整合到项目中,因此将项目命名为PECracker。
使用方法
目前实现了文件头伪装(暴力不优雅版)和证书区段数据嵌入,后续继续更新
.PECracker.exe() ) ( )(()/(( ) ( ) ( /( ( (/(_)) (((_) )( ( /( ( )()) )) )((_))((_) )___(() )(_)) )((_) /((_|()| _ __((/ __|((_|(_)_ ((_) |(_|_)) ((_)| _/ _| | (__|'_/ _` / _|| / // -_)| '_||_| |___| ___|_| __,___||__\___||_|written by https://github.com/berryalen02/PECrackerUsage:PECracker.exe [command]Available Commands:crack 针对文件头的crackhelpHelp about anycommandreplace 文件头替换伪装Flags:-h, --helphelpforPECracker.exe
文件头替换
PECracker.exereplaceextract[PE file][output][flags]PECracker.exereplace[command]
证书区段数据嵌入
PECracker.exe crack inject [PeFile] [output] [ShellcodeFile] [flags]效果
以下测试均采用最简单的msf生成的calc.bin,无混淆
感染PE文件后不影响执行
360和wdf无检出
传了几个沙箱
工具链接
https://github.com/berryalen02/PECrackerTODO
- 文件头伪装(暴力替换不优雅版)
- 证书区段数据嵌入
- patch(以及自动化的探索与对抗)
- .......
参考
[https://github.com/med0x2e/SigFlip](https://github.com/med0x2e/SigFlip)[https://mp.weixin.qq.com/s/htc8ZTbQ23kq3TEMlkqSfA](https://mp.weixin.qq.com/s/htc8ZTbQ23kq3TEMlkqSfA)
原文始发于微信公众号(影域实验室):人人都能免杀2.0-团队工具-PECracker
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论