题目:揭秘Amber:隐形的PE加载器

于 2024-05-15 09:54:59 发布
阅读量295 收藏 7
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00030/article/details/138895168
版权

题目:揭秘Amber:隐形的PE加载器

项目地址:https://gitcode.com/EgeBalci/amber

1、项目介绍

在信息安全领域,隐藏并保护执行代码的技术是至关重要的。Amber是一个创新性的PE(Portable Executable)加载器,它能够实现PE文件(如EXE,DLL,SYS等)的内存中无痕执行。由Amber生成的反射性负载可以被远程服务器分阶段部署,或者直接在内存中像通用shellcode一样执行。这个工具旨在帮助开发者和安全研究人员绕过反病毒软件、防火墙以及应用白名单等防护措施。

2、项目技术分析

  • 反射载荷生成:Amber通过位置独立(反射)的方式加载PE文件,使得在内存中的执行过程不依赖于硬盘上的元数据。
  • 编码技术:默认情况下,每个生成的反射载荷都会使用先进的SGN编码器进行编码,以增加对恶意软件扫描工具的躲避能力。
  • API解析:Amber利用CRC32_API和IAT_API来隐蔽地解析Windows API函数地址,进一步提高其隐蔽性。
  • 内存清理:一旦PE文件加载并在内存中执行,反射载荷会被自动删除,防止被内存扫描器检测到。

3、项目及技术应用场景

  • 渗透测试:在渗透测试过程中,Amber可以帮助测试者绕过目标系统的安全防护,将payload隐秘地注入到内存中。
  • 恶意软件研究:对于逆向工程师而言,Amber可作为一个强大的工具,用于创建难以检测的恶意软件样本。
  • 安全产品开发:在开发新型安全解决方案时,理解如何规避传统防御手段是非常有价值的,Amber为此提供了一个实验平台。

4、项目特点

  • 简单易用:Amber提供了直观的命令行接口,支持多种选项自定义生成的反射载荷。
  • 跨平台兼容:包括编译后的二进制文件和Docker镜像,满足不同环境的需求。
  • 高级编码:默认集成SGN编码器,提高载荷的复杂性和不可读性。
  • 动态API解析:两种API解析策略可供选择,适应不同的隐蔽需求。

结语

Amber是一款强大的工具,它不仅展示了现代内存执行技术的潜力,也为安全研究人员和开发者提供了探索和学习的宝贵资源。如果你正在寻找一种能够在内存中隐秘执行PE文件的方法,那么Amber无疑是值得尝试的选择。现在就加入这个项目,体验它的强大功能吧!

项目地址:https://gitcode.com/EgeBalci/amber

gitblog_00030
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
PE加载
11-28
一个PE文件的加载,可以直接从内存中加载EXE文件和DLL文件.——包括压缩的DLL和EXE。 已更新http://download.csdn.net/source/359338
PE加载的实现
08-13 1341
来源:http://blog.vckbase.com/windowssky  对于加壳软件的开发者,掌握PE Loader的实现是最基本的技术;因为壳运行结束后,你要仿照PE加载去Load映象体,我曾看过UPX的开源代码,全手工打造PE,实现的也是极其复杂,是学习加壳,脱壳和开发加壳软件的上乘资料.  在ReatOs和Nt4.0上找到了其实现,前者实现的比较清晰,不过还是看看Nt4.0的实现吧/
Pe-Loader Sample:一个实用的PE文件加载示例
最新发布
gitblog_00093的博客
03-16 406
Pe-Loader Sample:一个实用的PE文件加载示例 如果你正在寻找一个实用的Windows PE文件加载,并希望了解其工作原理,那么这个开源项目值得一看:Pe-Loader Sample 什么是Pe-Loader Sample? Pe-Loader Sample是一个简单的C语言编写的Windows应用程序,它能够加载并执行PE(Portable Executable)文件。通过这个...
PE 文件加载实现
pureman_mega的博客
08-12 751
/** * peLoader.cpp * Windows APT Warfare * by aaaddress1@chroot.org */ #include <stdio.h> #include <windows.h> #pragma warning(disable : 4996) #define getNtHdr(buf) ((IMAGE_NT_HEADERS *)((size_t)buf + ((IMAGE_DOS_HEADER *)buf)->e_lfanew.
易语言学习-PE加载(PeLoader)支持库版.zip
07-09
易语言学习-PE加载(PeLoader)支持库版.zip
amber:反光PE包装机
05-11
Amber是位置无关(反射)的PE加载,可在内存中执行本机PE文件(EXE,DLL,SYS ...)。 它实现了秘密的内存有效负载部署,可用于绕过防病毒,防火墙,IDS,IPS产品和应用程序白名单缓解措施。 Amber生成的反射性...
amber-microblog:使用Amber Framework的微博示例
02-04
然后: amber db create migrate用法发展历程要运行琥珀色开发服务amber watch生产设置AMBER_ENV : export AMBER_ENV=production要构建生产版本: shards build --production --release microblog建立生产...
页岩:Amber框架的分页
02-04
页岩:Amber框架的分页
ambrockets:使用Amber的简单Websockets示例
02-04
防弹衣一个使用简单Websockets示例 :smiling_face_with_sunglasses: :rocket: 演示: :安装➜ cd ambrockets➜ shards build ambrockets用法要运行演示: ➜ ./bin/ambrockets贡献分叉( ) 创建功能分支(git ...
pineauth:使用Amber构建的OAuth 2提供程序
02-04
然后: $ shards update$ amber migrate up用法要运行演示: $ crystal build src/pineauth.cr$ ./pineauthDocker撰写这将启动一个postgres实例,迁移数据库,并在启动站点。 $ docker-compose up -d 要查看日志: ...
PE加载源码.rar
09-25
PE加载源码.rar
peloader:PE二进制加载示例代码,摘自efitools
05-16
我确认可以通过使用自己的PE加载来绕过SecureBoot模式下的BS-> LoadImage()限制,并且已在efitools上实现( ) 。 这是无需使用BS-> LoadImage()即可加载和执行二进制文件的示例代码。
mmLoader, 从内存( x86/x64 ) 中绕过 Windows PE加载加载dll模块的Lirary.zip
09-18
mmLoader, 从内存( x86/x64 ) 中绕过 Windows PE加载加载dll模块的Lirary mmLoader http://tishion.github.io/mmLoader/直接绕过窗口PE加载程序从内存加载dll模块上次生成状态: Nuget本机软件包:https://www.nuget.org/packag
PE加载——你爱的很沉重,可还是得看她想不想要
sxr__nc的博客
04-20 1096
构造PE加载,简而言之就是手动把PE文件在内存中展开,并且如果有重定位表的话手动修复重定位表,以及修复IAT表等一些重要数据。 源码: #include<stdio.h> #include<windows.h> #include<winnt.h> int main() { HANDLE hFile = CreateFileA("你的测试程序的绝对地址", G...
windowsPE加载,替换进程内存,
lionzl的专栏
06-17 958
http://topic.csdn.net/u/20091103/11/c38fd755-6ff6-4b8b-a7bc-9aa1c94774c4.htmlhttp://bbs.eyuyan.com/read.php?tid=150015&page=2 Windows的PE加载在启动程序的时候,会将磁盘上的文件加载到内存,然后做很多操作,如函数导入表重定位,变量预处理之类的。这位仁兄等于是
加载PE文件——PE加载模拟法
跃然实验室
06-10 2319
1、找到文件加载到内存的基址 通常为0x0040 0000 2、取得内存对齐粒度 3、加载pe头,按照内存对齐粒度读取到指定起始地址的内存处 4、加载各个节。得到节数目,定位节表,按照内存对齐粒度读取到内存,不足的用0填充。 5、基址不对,需要重定位修复。 // LoadPeWithRead.cpp : Defines the entry point...
PE文件操作-动态加载
yeshahayes的博客
08-14 1820
有时会有这样的需求,要把一个dll加载到进程空间或者对付地址空间随机化技术,这就需要自己实现一个PELoader。在PE文件中,许多数据在内存中的位置已经以RVA的形式在链接时给出,我们只需要根据节表的描述准确的按位置加载,大部分程序就可以正确运行了,但有几个类型的数据还是需要loader来调整的: IAT 在PE文件中,调用静态链接的DLL例程一般都是以call ds:[xxxxxxxxh]的
加载PE文件——内存映射文件
跃然实验室
06-10 727
将程序安装内存对齐的方式读取到内存有两种方法: 1、内存映射文件 2、PE加载模拟法 1、内存映射文件 lpHeader所指内存是只读的,尽管是PAGE_READWRITE // LoadPeWithMap.cpp : Defines the entry point for the console application. // #include "stdafx.h" #...
AMBER教程C3:CPPTRAJ中的主成分分析
05-31
CPPTRAJ是Amber软件套件中的一款用于分析生物分子模拟数据的工具,其中包括了主成分分析(PCA)功能。下面是使用CPPTRAJ进行PCA分析的简要步骤: 1. 准备输入文件:需要准备一个包含MD模拟过程中所有帧的坐标信息的文件,比如一个pdb文件或者一个mdcrd文件。 2. 运行CPPTRAJ:在命令行中输入cpptraj命令,并使用PCA关键字进行PCA分析。例如: ``` $ cpptraj my_traj.mdcrd << EOF trajin my_traj.mdcrd rms first #选择参考帧 pca name pcaout #进行PCA分析 run EOF ``` 3. 解释PCA结果:运行完成后,会生成一个名为“pcaout”的文件,其中包括了PCA分析的结果,包括特征向量和特征值等信息,可以使用其他工具(比如Python的numpy库)进行解释和可视化。 需要注意的是,PCA分析的结果可能会受到分析过程中的参数选择和参考帧的影响,因此需要进行多次分析和比较才能得到可靠的结论。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gitblog_00030

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值