探索ExecuteAssembly:强大的.NET程序注入工具
项目简介
ExecuteAssembly是一个创新的开源项目,由C/C++编写,为安全研究者和开发者提供了一种替代CS执行汇编的方法。这个工具能加载并注入.NET程序集,通过一系列高级技术来绕过防护机制,包括重新使用主机进程的CLR模块、删除与.NET相关的模块链接、避开ETW和AMSI检测、避免EDR钩子,并且隐藏API导入。
技术剖析
ExecuteAssembly的核心特性包括:
- 模块解链:从PEB数据结构中解除对.NET相关模块(如CLR和MsCoree)的链接。
- 头文件篡改:修改.NET程序集和反射DLL的PE DOS头信息,使其难以被识别。
- 静态系统调用:在x64平台上,使用静态预定义的系统调用来规避EDR挂钩。
- 枚举并重用AppDomain:利用ICLRMetaHost接口遍历已加载的运行时,以便在现有.NET进程中加载新的程序集。
- 动态API解析:借助PEB中的超级快哈希算法动态解析WIN32 API地址。
- AMSI和ETW禁用:在加载.NET程序集之前,预先修补AMSI和事件跟踪日志记录。
应用场景
ExecuteAssembly适用于多种安全测试和恶意软件分析环境,包括但不限于:
- 安全研究人员测试绕过防御策略的实验。
- 开发者调试.NET程序或进行代码注入。
- 系统管理员监控应用程序行为,以检测潜在的安全风险。
项目特点
- 跨平台兼容性:支持x64和x86架构,可在多种操作系统环境下工作。
- 灵活的选项:提供了多种命令行选项,让用户可以根据具体需求选择是否禁用AMSI、ETW,或者对PE头进行篡改等。
- 高性能:通过静态系统调用和动态API解析实现高速执行。
- 可扩展性:项目仍在持续开发中,计划增加更多功能,例如支持更大的.NET程序集大小。
使用方法
ExecuteAssembly的使用相当简单,只需通过命令行指定.NET程序集、参数以及所需的行为。项目还附带了一个Cobalt Strike的Aggressor脚本,使得集成到C2框架中变得更加便捷。
总之,ExecuteAssembly是.NET程序注入领域的一颗璀璨明珠,它的强大功能和灵活性将为您的项目增添无尽的可能性。无论是为了学术研究还是实际操作,都值得一试。立即加入社区,探索这款工具的潜力吧!