Nim 中使用 EDR 规避技术的 WIP shellcode 加载器

渗透技巧 2年前 (2022) admin
529 0 0


通过将资源拼凑在一起创建一个实现常见 EDR/AV 规避技术的 shellcode 加载器。

  • loader.nim用您自己的 x64 shellcode替换字节数组

  • 编译 EXE 并运行它:nim c -d:danger -d:strip --opt:size "loader.nim"

  • 可能通过查看您正在使用的注入文件夹方法的 .nim 文件来调整您要注入的进程…

  • 从 NTDLL 动态解析的直接系统调用

  • AMSI 和 ETW 补丁

  • NTDLL 脱钩

  • CreateRemoteThread 注入

  • 过程空心技术

  • 使用 [CTR 模式下的 AES] 的 Shellcode 加密/解密(https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Counter_(CTR)

  • 用系统调用替换所有兼容的 API 调用

  • 添加模板生成器和编译器、shellcode 的命令行参数、注入方法、进程路径等


https://github.com/adamsvoboda/nim-loader

原文始发于微信公众号(Khan安全攻防实验室):Nim 中使用 EDR 规避技术的 WIP shellcode 加载器

版权声明:admin 发表于 2022年7月20日 上午8:50。
转载请注明:Nim 中使用 EDR 规避技术的 WIP shellcode 加载器 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...