项目介绍
项目的定位:红队人员的PE对抗辅助工具,具体的对抗思路,就仰仗各位大佬的脑洞了。也欢迎提issue,丰富工具功能。(为了更好的免杀性能,后续会酌情开源)
对于PE头的一些变形技术都比较老了,这次的学习与实践主要是某APT样本用了这保持签名有效的技术,并且支持shellcode的隐藏与识别,可以深挖的花样会很多。
利用哈希校验漏洞感染文件同时不影响签名有效性的POC,在21年就已经披露了,公开利用主要是SigFlip 这个项目。老POC是一体化的loader,我实现了分离的PE修改工具,定制化程度更高,用起来更方便。后续会持续更新深度的攻防对抗。
后续希望把对于PE文件的利用手法都整合到项目中,因此将项目命名为PECracker。
使用方法
目前实现了文件头伪装(暴力不优雅版)和证书区段数据嵌入,后续继续更新
.PECracker.exe(( )) ( ) ( /( ( ((((_) )( ( /( ( )()) )) )()___(() )(_)) )((_) /((_|()| _ __((/ __|((_|(_)_ ((_) |(_|_)) ((_)_/ _| | (__| '_/ _` / _|| / // -_)| '_||___| ___|_| __,___||__\___||_|written by https://github.com/berryalen02/PECrackerUsage:[command]Available Commands:crack 文件头证书区段感染help Help about any commandreplace 文件头替换伪装Flags:--help help for PECracker.exe
文件头替换
PECracker.exe replace extract [PE file] [output] [flags]PECracker.exe replace import [HeaderFile] [target] [flags]
证书区段数据嵌入
PECracker.exe crack inject [PeFile] [output] [ShellcodeFile] [flags]自定义标注数据
.PECracker.exe crack inject QQMusic.exe test.exe calc.bin --embedData 0xdeadbeefdeadbeef --embedSize 8() ) ( )(()/(( ) ( ) ( /( ( (/(_)) (((_) )( ( /( ( )()) )) )((_))((_) )___(() )(_)) )((_) /((_|()| _ __((/ __|((_|(_)_ ((_) |(_|_)) ((_)| _/ _| | (__| '_/ _` / _|| / // -_)| '_||_| |___| ___|_| __,___||__\___||_|written by https://github.com/berryalen02/PECracker[] size of shellcode: 276[] PE文件修改成功
效果展示
以下测试均采用最简单的msf生成的calc.bin,无混淆
感染PE文件后不影响执行
360和wdf无检出
传了几个沙箱
下载地址
https://github.com/berryalen02/PECracker
·
原文始发于微信公众号(七芒星实验室):【最新免杀手法】针对PE文件的分离免杀对抗工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论