探索无补丁执行:PatchlessInlineExecute-Assembly
项目介绍
PatchlessInlineExecute-Assembly
是一个创新的开源项目,它将 BOF InlineExecute-Assembly
的功能移植到了.NET环境中,但巧妙地避开了AMS(应用程序恶意软件保护)和ETW(事件跟踪窗口)的检测,采用硬件断点实现无补丁绕过。这个项目由 VoldeSec
创建,旨在提供一种更加隐秘且高效的在目标进程中加载.NET程序集的方法。
项目技术分析
项目的核心在于其对硬件断点的利用,这种技术优于传统的内存修改方法,因为它不涉及API如NtProtectVirtualMemory
,因此能避开安全解决方案的严密监控。此外,由于不需要更改文件或内存,它更难以被文件完整性和端点检测响应系统(EDR)捕捉到,从而确保了更高的隐蔽性。
项目还包含了独立的加载器代码,可以在更广泛的场景下应用,方便开发者进行自定义集成。源代码已编译为C语言,并可与Cobalt Strike无缝配合,便于渗透测试和逆向工程工作。
项目及技术应用场景
PatchlessInlineExecute-Assembly
可以应用于以下场景:
- 安全研究:研究人员可以利用这一技术测试系统防御策略的效能。
- 渗透测试:在合法授权下,渗透测试人员能够在目标环境中低调执行代码,评估系统的安全性。
- 应急响应:在处理恶意软件时,这项技术可以用于无痕地注入反恶意软件工具来侦查或清除威胁。
项目特点
- 无补丁绕过: 利用硬件断点,避免修改目标进程内存,减少了被检测的可能性。
- 兼容性广: 支持加载.NET程序集,并可以与Cobalt Strike等工具集成。
- 高度隐形: 避免使用常见的敏感API,减少触发警报的风险。
- 独立加载器: 提供单独的加载器代码,使开发者能够根据需求进行定制。
要构建该项目,只需在x64 Native Tools Command Prompt中运行提供的编译命令,然后在Cobalt Strike中导入PatchlessinlineExecute-Assembly.cna
脚本即可。
总的来说,PatchlessInlineExecute-Assembly
提供了一种强大而灵活的手段,在复杂的网络安全环境中进行无痕操作。如果你是渗透测试者、安全研究员或是任何对隐形执行有兴趣的开发人员,不妨尝试一下这个项目,探索它的无限潜力。