Hades -结合多种规避技术的Go Shellcode加载器

admin 2024年11月6日23:01:57评论10 views字数 1170阅读3分54秒阅读模式

Hades -结合多种规避技术的Go Shellcode加载器

关于

Hades是一个概念验证加载器,它结合了几种规避技术,目的是绕过现代 AV/EDR 常用的防御机制。

用法

最简单的方法可能是使用 在 Linux 上构建项目make。

git clone https://github.com/f1zm0/hades && cd hades
make

然后,您可以将可执行文件带到 x64 Windows 主机并使用 运行它.hades.exe [options]。

PS > .hades.exe -h

  '||'  '||'     | '||''|. '||''''| .|'''.|
   |
| || |||     ||   ||   ||  . ||.. '
   ||'
'''|| | || || || ||''| ''|||.
   || || .'
'''|. || || || . '||
  .||. .||. .|. .||. .||...|' .||.....| |'....|'

          version: dev [11/01/23] :: @f1zm0

Usage:
  hades -f <filepath> [-t selfthread|
remotethread|queueuserapc]

Options:
  -f, --file <str> shellcode file path (.bin)
  -t, --technique <str> injection technique [selfthread, remotethread, queueuserapc]

例子

calc.exe注入使用queueuserapc技术发送垃圾邮件的shellcode :

.hades.exe -f calc.bin -t queueuserapc
展示
使用系统调用 RVA 排序绕过用户模式挂钩(NtQueueApcThread使用frida-trace和自定义处理程序进行挂钩)

Hades -结合多种规避技术的Go Shellcode加载器

使用间接系统调用绕过仪表回调(注入的 DLL 来自jackullrich的syscall-detect)https://github.com/jackullrich/syscall-detect

Hades -结合多种规避技术的Go Shellcode加载器

其他说明
直接系统调用版本
在最新版本中,直接系统调用功能已被acheron提供的间接系统调用所取代。如果出于某种原因,您想要使用使用直接系统调用的先前版本的加载器,则需要将标签明确传递direct_syscalls给编译器,编译器将确定需要在构建中包含和排除哪些文件。
GOOS=windows GOARCH=amd64 go build -ldflags "-s -w" -tags='direct_syscalls' -o dist/hades_directsys.exe cmd/hades/main.go

项目地址:

https://github.com/f1zm0/hades

原文始发于微信公众号(Ots安全):Hades -结合多种规避技术的Go Shellcode加载器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月6日23:01:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Hades -结合多种规避技术的Go Shellcode加载器https://cn-sec.com/archives/3353422.html

发表评论

匿名网友 填写信息