探索SysWhispers3WinHttp:一款强大的Windows系统调用隐蔽通信工具

最新推荐文章于 2024-08-19 10:12:21 发布
最新推荐文章于 2024-08-19 10:12:21 发布
阅读量403 收藏 9
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00002/article/details/137908363
版权

探索SysWhispers3WinHttp:一款强大的Windows系统调用隐蔽通信工具

SysWhispers3WinHttpSyscall免杀项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers3WinHttp

SysWhispers3WinHttp是一个开源项目,由GitHub用户huaigu4ng开发,其主要目标是提供一种在Windows环境中进行隐秘而高效的数据传输方法。通过利用Windows系统的内部API(应用程序接口)——尤其是WinHTTP库,此项目实现了在避开常规监控和检测的情况下,发送与接收网络数据。

技术解析

  1. 基于WinHTTP的通信: WinHTTP是Windows内置的一个高级HTTP客户端库,常用于创建Internet客户端应用程序。SysWhispers3WinHttp巧妙地利用了这个库的特性,创建了一个低可见性的通信通道,降低了被防火墙或安全软件拦截的可能性。

  2. 系统调用混淆: 为了增加隐藏性,该项目采用了系统调用混淆技术。这种方法使得即使有人试图通过静态分析二进制文件,也很难识别出它的真正意图。

  3. 可定制性: SysWhispers3WinHttp提供了灵活的配置选项,允许开发者根据需要调整通信参数,如超时时间、重试策略等,以适应不同的情景和安全要求。

  4. 跨平台兼容: 虽然名称中包含“WinHttp”,但此项目主要针对Windows环境设计,它充分利用了Windows操作系统提供的丰富功能。

应用场景

  • 安全研究:安全研究人员可以使用SysWhispers3WinHttp来测试防御系统的有效性,理解隐蔽通信的挑战。
  • 隐私保护应用:对于需要高度隐私保护的工具,如匿名浏览器或者加密通信软件,它可以作为底层通信组件。
  • 恶意软件分析:逆向工程师和威胁猎人可以利用这个工具来模拟和理解潜在恶意行为。

特点

  • 低调隐秘:利用系统内建功能,降低被发现的风险。
  • 高效稳定:基于成熟的WinHTTP库,保证了通信的可靠性和效率。
  • 源代码开放:完全开源,透明且易于审计,同时鼓励社区贡献和改进。

结语

SysWhispers3WinHttp为安全和隐私领域的专业人士提供了一种创新的工具,它融合了技术的精巧与实战的考量。如果你正在寻找一个能够在Windows环境下进行秘密通信的解决方案,不妨试试这个项目。访问深入了解,并参与到这个项目的开发和使用中去。

本文旨在技术分享和讨论,任何实际应用请遵守相关法律法规并确保信息安全性。

SysWhispers3WinHttpSyscall免杀项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers3WinHttp

司莹嫣Maude
关注
探索SysWhispers3:深入系统调用的秘密武器
gitblog_00088的博客
04-25 454
探索SysWhispers3:深入系统调用的秘密武器 SysWhispers3SysWhispers on Steroids - AV/EDR evasion via direct system calls. 项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers3 是一个开源项目,它专注于提供一种低噪音、高隐蔽性的系统调用接口利用技术。该项目的主要...
SysWhispers3WinHttp免杀----ConsoleApplication814项目
bring_coco的博客
08-28 246
使用项目:https://github.com/huaigu4ng/SysWhispers3WinHttp。过不了windows defender,放上去直接杀,更别说运行了,没办法用此项目的人太多了。通过cs生成beacon.bin,放到vps,开启http服务。在原项目上改改吧,改改还是很牛逼的。360安全卫士和360杀毒可以过。注意用gcc编译,vs编译报错。
推荐项目:SysWhispers3 —— 打破常规的系统调用黑科技
gitblog_01090的博客
08-19 718
推荐项目:SysWhispers3 —— 打破常规的系统调用黑科技 SysWhispers3SysWhispers on Steroids - AV/EDR evasion via direct system calls. 项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers3 在当今的安全研究领域,规避高级安全防护机制已成为红队操作和逆向工程中不...
最新免杀!可过360核晶与Defender(SysWhispers3
潇湘信安的博客
05-19 1559
SysWhispers3WinHttp 基于SysWhispers3项目增添WinHttp分离加载功能,目前还可免杀绕过360核晶与Defender。
syscall函数(调用底层,非windowsAPI)去执行shellcode
bring_coco的博客
08-30 393
首先使用github提供的项目https://github.com/klezVirus/SysWhispers3。ConsoleApplication3.c:(该payload是弹出计算器,还需要后续去改成上线cs)因为syscall特征非常明显,静态特征就很容易被识别到。syscalls_mem.h也是需要编译的,也是默认的。其他三个都是自动生成的,位置放好相应路径即可。因为这个文件要生成,所以不需要做下面的改动。然后我放到360杀毒中,会报毒。应该是检测到了syscall。可以看到成功弹出计算器。
SysWhispers:通过直接系统调用规避AVEDR
05-30
系统私语 SysWhispers 通过生成植入程序可以用来进行直接系统调用的头文件/ASM 文件来帮助规避。 从Windows XP到Windows 10 19042(20H2),都支持所有核心syscall。 在example-output/文件夹中可用的示例生成文件。 介绍 各种安全产品在用户模式 ​​API 中放置钩子,允许它们将执行流重定向到它们的引擎并检测可疑行为。 ntdll.dll中生成系统调用的函数仅包含一些汇编指令,因此在您自己的植入物中重新实现它们可以绕过这些安全产品挂钩的触发。 该技术由推广,他的有更多值得阅读的技术细节。 SysWhispers 为红队人员提供了为核心内核映像 ( ntoskrnl.exe ) 中的任何系统调用生成标头/ASM 对的能力,该功能适用​​于从 XP 开始的任何 Windows 版本。 标头还将包括必要的类型定义。 这与 POC 之
Win7的WinHTTP支持TLS1.2,修复WinHttp.WinHttpRequest或msxml3.dll出现安全频道支
02-02
标题中的“让Win7的WinHTTP支持TLS1.2”是指在Windows 7操作系统中,通过更新或配置系统,使得内置的WinHTTP组件能够支持Transport Layer Security (TLS) 1.2协议。TLS是一种用于在互联网上提供安全通信的协议,它的...
红队免杀培训-手把手教使用系统调用(上)
Gamma_lab的博客
03-18 611
1.前言: 为了应对,AV/EDR对一些常规windows的api的监控,使用的github项目为Syswhispers,其实CS官方有个付费工具包叫 CobaltStrike Artifact,可以定制化生成有效负载,当然其中也包括了使用系统调用,替换掉beacon里面的api函数,当然付费真的用不起,对于穷人来说,只能靠手动冲! 2.实现: 在此之前,我们得想一想我们该替换什么api,我们需要用到什么api,看以下加载器的示例: #include <iostream> #include &l
au3 winhttp模块
09-24
标题中的"au3 winhttp模块"指的是AutoIt脚本语言中的一个特定模块,它集成了WinHTTP库,用于实现HTTPHTTPS的网络通信功能。AutoIt是一种自动化脚本语言,常用于系统管理和软件自动化任务。WinHTTPWindows操作...
Windows网络与通信程序设计文档.rar
01-15
9. **性能优化**: 使用高效的缓冲策略、减少系统调用、正确管理套接字资源,以及利用多核CPU并行处理,都是提升网络程序性能的关键。 10. **并发与并发控制**: 对于高并发场景,需要理解线程池、信号量、互斥量等...
SysWhispers2:通过直接系统调用进行AVEDR规避
03-08
SysWhispers2 SysWhispers通过生成植入程序可用来进行直接系统调用的标头/ ASM文件来帮助规避。 支持所有核心系统调用,并且在example-output/文件夹中提供了示例生成的文件。 SysWhispers 1和2之间的区别 用法与几乎相同,但是您不必指定要支持的Windows版本。 大部分更改都在后台进行。 它不再依赖的,而是使用流行的“ ”技术。 这显着减小了syscall存根的大小。 SysWhispers2中的特定实现是@modexpblog代码的变体。 一个区别是函数名称哈希在每一代中都是随机的。 ,谁曾这种技术早些时候,有另一个基于C ++ 17,这也是值得一试。 原始的SysWhispers存储库仍处于运行状态,但将来可能会弃用。 介绍 各种安全产品在用户模式API函数中放置了钩子,使它们可以将执行流重定向到其引擎并检测可疑行为。 进行系统
SysWhispers2_x86:X86版本的syswhispers2 x86直接系统调用
03-06
SysWhispers2_x86 SysWhispers2只支持x64,在此基础上作一点微小的工作,使用方法与注意要在vs x86模式编译生成,不要在x64模式。 由于syswhisper2仅支持x64,因此我们在此基础上做了一些工作,其使用方法与syswhisper2相同。 SysWhispers2_ x86_ Sysenter负责生成32位程序并在32位系统上运行,Syswhisper2_ x86_ Wow64gate负责生成32位程序并在64位系统上运行。 当心! 在vs x86模式下构建,而不在x64模式下构建。
管理系统javasal源码-libnet:windows用户模式网络库
06-06
管理系统java sal源码 libnet windows network library 建立本工程的目的。 这是一个应用层的收集各种网路操作的集合,主要是API的用法,主要是枚举和信息的收集。 命名管道和邮件槽算不算网络?有的说他们是属于文件...
探索SysWhispers:一款强大系统调用静默执行工具
gitblog_00040的博客
03-25 267
探索SysWhispers:一款强大系统调用静默执行工具 项目地址:https://gitcode.com/jthuraisamy/SysWhispers 项目简介 SysWhispers 是由J. Thuraisamy开发的一个开源项目,旨在提供一种安全、隐蔽的方式来执行Linux系统的内核级操作,而不留下明显的痕迹。它通过利用系统调用在用户空间和内核空间之间的通信,实现了对目标程序的无痕注入...
SysWhispers3使用手册
gitblog_00834的博客
08-19 334
SysWhispers3使用手册 SysWhispers3SysWhispers on Steroids - AV/EDR evasion via direct system calls. 项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers3 一、项目目录结构及介绍 SysWhispers3是一个旨在增强软件安全性与隐匿性的工具,专注于通过直接系...
网络靶场实战-安全开发之直接系统调用
蛇矛实验室
12-13 576
熟悉 Windows 编程的人应该知道,Native API 一般是不直接对外公开的,它通常作为操作系统内部的一个组件,并且只能由操作系统内部的组件或应用程序调用,所以在使用一些未文档的化的 Native API 时,需要通过网上公开的资料或者通过逆向取获取其函数原型和相关参数。在安全研发的过程中,难免会遇到在用户模式对抗 AV/EDR 的挂钩,应对的方法有很多,比如可以使用直接系统调用,还可以将杀软的所挂的钩子解除,还有一种就是寻找具有相同功能未被挂钩的 API。
红蓝对抗之红队免杀开发实践
悦分享
08-04 1900
我们在这个加载程序中执行的beacon shellcode最终是一个需要在内存中执行的DLL。许多C2框架利用了Stephen Fewer的。解析加载DLL所需kernel32.dll WINAPI的地址(例如VirtualAlloc, LoadLibraryA等);将DLL及其相应的节写入内存中;建立DLL导入表,以便DLL可以调用ntdll.dll和kernel32.dll WINAPI;加载额外的库并解析其导入函数地址;调用DLL的入口点。...
各种函数声明和定义模块
最新发布
09-16
各种函数声明和定义模块
湖北工业大学在河南2021-2024各专业最低录取分数及位次表.pdf
09-16
全国各大学在河北2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
Windows网络编程:WinInet与WinHttp比较分析
"WinInet与WinHttpWindows平台下的两个网络库,分别适用于客户端和服务器端编程。WinInet因支持多种协议(Gopher、HTTPHTTPS、FTP)且与IE浏览器紧密关联,适用于全面的网络服务,而WinHttp专注于HTTPHTTPS,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

司莹嫣Maude

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值