ETW Bypass

于 2024-01-31 17:22:19 发布
阅读量363 收藏 8
点赞数 6
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dokii_i/article/details/135958390
版权

1.NET 程序集

像 Java 是由 JVM 托管的,.NET 程序集(比如C_Sharp.exe) 都是由 CLR 托管的

硬盘加载

从硬盘中读取加载到内存

通过三个接口可以启动 CLR 来对 .NET 程序集 进行硬盘加载

Copy
ICLRMetaHost 接口
ICLRRuntimeInfo 接口
ICLRRuntimeHost 接口

Program.cs:

Copy
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
 
namespace C_Sharp {
    class Program {
        static void Main(string[] args) {
        }
        static int print(String strings) {
            Console.WriteLine(strings);
            return 1;
        }
    }
}

x64.cpp:

Copy
#include <iostream>
#include <metahost.h>
#pragma comment(lib, "mscoree.lib")
 
int main() {
    // 创建 ICLRMetaHost对象
    ICLRMetaHost* metaHost = NULL;
    CLRCreateInstance(CLSID_CLRMetaHost, IID_ICLRMetaHost, (LPVOID*)&metaHost);
 
    // 获取枚举器
    IEnumUnknown* runtime = NULL;
    metaHost->EnumerateInstalledRuntimes(&runtime);
 
    // 枚举安装的CLR
    IUnknown* enumRuntime = NULL;
    ICLRRuntimeInfo* runtimeInfo = NULL;
    DWORD bytes = 2048;
    LPWSTR frameworkName = (LPWSTR)LocalAlloc(LPTR, 2048);
    while (runtime->Next(1, &enumRuntime, 0) == S_OK) {
        if (enumRuntime->QueryInterface<ICLRRuntimeInfo>(&runtimeInfo) == S_OK) {
            if (runtimeInfo != NULL) {
                runtimeInfo->GetVersionString(frameworkName, &bytes);
            }
        }
    }
 
    ICLRRuntimeHost* runtimeHost = NULL;
    runtimeInfo->GetInterface(CLSID_CLRRuntimeHost, IID_ICLRRuntimeHost, (LPVOID*)&runtimeHost);
    runtimeHost->Start(); // 启动CLR
    runtimeHost->ExecuteInDefaultAppDomain(L"C_Sharp.exe", L"C_Sharp.Program", L"print", L"hacker", NULL);
    return 0;
}

内存加载

直接从内存加载,不需要从硬盘读取

CS 新启进程,内存加载 .NET 程序集:

Copy
execute-assembly d:\net.exe

2.ETW

一种事件追踪机制,会检测 .NET 程序集

检测示例

Program.cs:

Copy
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
 
namespace C_Sharp {
    class Program {
        static void Main(string[] args) {
            Console.WriteLine("hacker");
        }
    }
}

CS 当前进程,内存加载 .NET 程序集:

inject-assembly插件,GitHub - kyleavery/inject-assembly: Inject .NET assemblies into an existing process

Copy
inject-assembly 0 D:\C_Sharp.exe

此时用 Process Hacker 可以看到多出来一些 .NET 信息

图片

还可以看到启动了CLR(clr.dll)

图片

绕过

CLR 会通过 ntdll 的 EtwEventWrite函数 公开信息

BOF-patchit插件,GitHub - ScriptIdiot/BOF-patchit: An all-in-one Cobalt Strike BOF to patch, check and revert AMSI and ETW for x64 process. Both syscalls and dynamic resolve versions are available.

Copy
patchit etw

再查看 .NET 信息,发现获取不到了

图片

原理

对木马进行调试

使用插件前的 EtwEventWrite函数

图片

使用插件后的 EtwEventWrite函数

图片

发现开头变成了ret,使函数无法被正常调用

至于后面为什么变成 mov ebx, esp,看硬编码就知道了

网安Dokii
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ETW的攻与防
hongduilanjun的博客
09-14 2884
ETW全称为,即windows事件跟踪,它是Windows提供的原生的事件跟踪日志系统。由于采用内核层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案,本文基于ETW探究其攻与防的实现。
浅谈bypass Etw
记录学习,一起进步
02-06 705
bypass etw
Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass
0pr
03-06 1920
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETW(Event Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
AV/EDR 免杀逃避技术汇总
jentle8的博客
09-08 2103
EDR AV 逃避和免杀方案汇总
windbg使用方法_两种最新Bypass ETW的方法
weixin_39668470的博客
11-22 883
译文声明本文是翻译文章,文章原作者modexp,文章来源:modexp.wordpress.com原文地址:https://modexp.wordpress.com/2020/04/08/red-teams-etw/译文仅供参考,具体内容表达以及含义原文为准2020年4月7日,Dylan在其twitter上发布了一种绕过Sysmon和ETW的通用方法,我们对其进行了跟踪研究。4月8日,...
Event Tracing for Windows(ETW) - 使用基于清单的提供者写事件 译(10)
勿以恶小而为之,勿以善小而不为
05-18 756
Writing Manifest-based Events 原文链接 作者:Microsoft 译者:塔塔塔塔塔 在你写Event 到 跟踪Session 前必须先注册Provider。注册好的Provider会通知ETW你的Provider已经准备好去写Event到跟踪Session,您的提供程序已准备好将事件写入跟踪会话。一个进程最多可以注册1,024个Provider的GUID;但是,您应该将程序中注册的Provider的数量限制为一两个。 Windows Vista之前的版本:一个程序可以注册的Pr
TraceEventProgrammersGuide.rar_ETW_tracing
09-21
《.NET ETW Tracing 指南》 事件跟踪窗口(Event Tracing for Windows,简称ETW)是Windows操作系统中的一个强大日志记录机制,它允许开发者对应用程序进行低开销、高效率的诊断和性能分析。在.NET环境中,ETW与CLR...
windows ETW training course
02-10
**事件追踪Windows (ETW)** 事件追踪Windows (ETW) 是Windows操作系统中的一种核心级诊断和性能监控工具。它允许软件开发者记录和分析应用程序、系统和服务中的事件,以调试问题、优化性能或理解系统行为。ETW提供...
pywintrace:ETW Python库
02-06
ETW(Windows事件跟踪) ETW是一种跟踪工具,它允许用户将事件记录到文件或缓冲区中。 可以在找到ETW的概述。 基本体系结构包括提供者,控制器和使用者。 控制器定义并控制捕获会话。 这包括提供者在其中以及开始和...
Winshark:Wireshark插件来测试ETW
03-20
Winshark基于libpcap后端来捕获ETW(适用于Windows的事件跟踪),以及一个生成器,该生成器将为计算机上已知的ETW提供程序生成所有解剖器。我们添加了Tracelogging支持,以涵盖Windows操作系统上几乎所有的日志技术...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8346
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于Springboot和Vue的数码论坛系统设计与实现-源码 数码论坛系统设计与实现代码(高分毕设)
最新发布
07-24
数码论坛系统设计与实现-源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
java程序设计—JAVA局域网飞鸽传书软件设计与实现(源代码+论文)43.rar
07-24
java程序设计,可供正在学习的同学研究参考。
年终总结汇报PPT模板(20)三套材料.pptx
07-24
年终总结汇报PPT模板(20)三套材料.pptx
ListView侧边A-Z快速定位导航.zip
07-24
ListView侧边A-Z快速定位导航
java程序设计—JAVA文件传输(论文+源代码)59.rar
07-24
java程序设计,可供正在学习的同学研究参考。
java程序设计—[信息办公]学校教务管理系统(jsp+servlet+javabean)_school9.rar
07-24
java程序设计,可供正在学习的同学研究参考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值