From:https://iwantmore.pizza/posts/PEzor.html
https://github.com/phra/PEzor
-
用Mingw-w64和LLVM设置开发环境
-
通过NTDLL内存抓取通过syscall内联进行Shellcode注入(仅x86-64)
-
从内存NTDLL中删除钩子,以检索正确的系统调用号
-
使用Donut将Shellcode注入器升级为完整的PE包装器
-
使用sgn确保在每次构建时生成的shellcode总是不同的
-
通过LLVM混淆确保编译的加载器在每个构建中始终是不同的
-
为初始加载程序实现一些简单的反调试技巧
可以是提供可执行文件,打包到新的可执行文件中,也可以提供shellcode打包到一个可执行文件中
git clone https://github.com/phra/PEzor.gitcd PEzorsudo bash install.shbash PEzor.sh –h
这里测试下mimikatz,-sleep设置为2分钟,执行后需等两分钟
打包之前
打包之后
PEzor.sh -sgn -unhook -antidebug -text -syscalls -sleep=120 mimikatz.exe -z 2
测试下Covenant
生成个可执行文件,打包之前效果
打包之后效果,可再结合其他免杀手段进行免杀。
等待两分钟后上线
本文始发于微信公众号(关注安全技术):渗透Tips-22期-Pezor免杀
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论