关于
Hades是一个概念验证加载器,它结合了几种规避技术,目的是绕过现代 AV/EDR 常用的防御机制。
用法
最简单的方法可能是使用 在 Linux 上构建项目make。
git clone https://github.com/f1zm0/hades && cd hades
make
然后,您可以将可执行文件带到 x64 Windows 主机并使用 运行它.hades.exe [options]。
PS > .hades.exe -h
'||' '||' | '||''|. '||''''| .|'''.|
|| || ||| || || || . ||.. '
||''''|| | || || || ||''| ''|||.
|| || .''''|. || || || . '||
.||. .||. .|. .||. .||...|' .||.....| |'....|'
version: dev [11/01/23] :: @f1zm0
Usage:
hades -f <filepath> [-t selfthread|remotethread|queueuserapc]
Options:
-f, --file <str> shellcode file path (.bin)
-t, --technique <str> injection technique [selfthread, remotethread, queueuserapc]
例子:
calc.exe注入使用queueuserapc技术发送垃圾邮件的shellcode :
.hades.exe -f calc.bin -t queueuserapc
使用间接系统调用绕过仪表回调(注入的 DLL 来自jackullrich的syscall-detect)https://github.com/jackullrich/syscall-detect
GOOS=windows GOARCH=amd64 go build -ldflags "-s -w" -tags='direct_syscalls' -o dist/hades_directsys.exe cmd/hades/main.go
项目地址:
https://github.com/f1zm0/hades
原文始发于微信公众号(Ots安全):Hades -结合多种规避技术的Go Shellcode加载器
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论