探索SysWhispers:一款强大的系统调用静默执行工具

最新推荐文章于 2024-08-19 10:12:21 发布
最新推荐文章于 2024-08-19 10:12:21 发布
阅读量267 收藏 3
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00040/article/details/137003240
版权

探索SysWhispers:一款强大的系统调用静默执行工具

项目简介

是由J. Thuraisamy开发的一个开源项目,旨在提供一种安全、隐蔽的方式来执行Linux系统的内核级操作,而不留下明显的痕迹。它通过利用系统调用在用户空间和内核空间之间的通信,实现了对目标程序的无痕注入。

技术分析

SysWhispers的核心在于其高效且低可见性的系统调用注入机制。传统的注入方法如DLL注入或内存修改等可能会触发反病毒软件的警报,而 SysWhispers 则巧妙地避开了这些检测。它的工作原理如下:

  1. 静态分析:SysWhispers 首先分析目标程序的二进制文件,找出所需执行的系统调用序列。
  2. 代码生成:然后,它自动生成一个C源码文件,该文件包含了用于执行这些系统调用的代码,并确保在执行过程中不涉及动态链接库(DLL)或其他可被监控的活动。
  3. 编译与注入:最后,这个C源码被编译成一个可执行文件,这个文件可以在目标进程中无声无息地运行,执行预定的操作。

应用场景

  • 安全研究:研究人员可以使用SysWhispers来进行渗透测试,评估系统安全策略的有效性,而不会引起常规检测系统的误报。
  • 恶意软件分析:SysWhispers可以帮助安全专家模拟和理解恶意软件的行为,特别是在隔离环境中。
  • 自动化运维:对于需要在后台悄无声息执行的任务,如文件管理、网络配置等,SysWhispers提供了低级别访问权限,减少了运维过程中的风险。

特点

  1. 低可见性:由于其静态编译和无动态链接的特性,SysWhispers产生的进程很难被常规的监控工具捕获。
  2. 灵活性:支持多种操作,包括读写文件、创建和终止进程、网络通信等,几乎涵盖了所有系统调用功能。
  3. 易用性:项目提供了清晰的文档和示例,使得开发者能够快速上手并应用到实际项目中。
  4. 跨平台兼容:尽管当前项目主要面向Linux环境,但未来有潜力扩展到其他Unix-like操作系统。

结语

SysWhispers是一个创新的系统调用注入工具,为开发者和安全研究人员带来了新的可能性。它的独特之处在于能够以一种难以检测的方式进行低级别的系统操作,这无疑增加了其在多个领域的实用价值。如果你正在寻找这样一款工具,那么 SysWhispers 值得一试。赶快探索并参与到这个项目的使用和开发中吧!

强妲佳Darlene
关注
js系列十一:在chrome开发者工具中观察函数调用栈,作用域与闭包
人生代码 ---- 公众号
02-26 3066
1 基础概念的回顾 函数在被调用执行时,会创建一个当前函数的执行上下文,在该执行上下文的创建阶段,变量对象,作用域链,闭包,this 会分别确认,而一个程序中一般来说会有多个函数执行,因此执行引擎会使用函数调用栈来管理这些函数的执行顺序。函数调用栈的执行顺序与栈数据结构一致。 2 认识断点调试工具 浏览器右上角竖着的三点 -> 更多工具 -> 开发者工具 -> Sources ...
哈工大LTP:Windows系统Python本地调用
informationscience的博客
08-07 7991
本文实验环境为64位win10系统,python3.6.2,LTP项目文件和模型文件使用的3.3.1版本 1.LTP下载 (1)LTP项目文件ltp-3.3.1-win-x86.zip(下载链接) (2)LTP模型文件3.3.1(下载链接) Windows系统直接下载编译好的二进制文件ltp-3.3.1-win-x86.zip,不用管编译。使用较新版本时,注意项目文件与模型文件
最新免杀!可过360核晶与Defender(SysWhispers3)
潇湘信安的博客
05-19 1559
SysWhispers3WinHttp 基于SysWhispers3项目增添WinHttp分离加载功能,目前还可免杀绕过360核晶与Defender。
调用 dll 侵权_ShellCode免杀框架内附SysWhispers2_x86直接系统调用
weixin_30480859的博客
01-29 865
本帖最后由 mai1zhi2 于 2021-1-28 12:27 编辑文章来自:https://www.52pojie.cn/thread-1360548-1-1.html如有侵权,请联系删除1、概述之前分析CS4的stage时,有老哥让我写下CS免杀上线方面知识,遂介绍之前所写shellcode框架,该框架的shellcode执行部分利用系统特性和直接系统调用(Direct Syste...
SysWhispers:通过直接系统调用规避AVEDR
05-30
系统私语 SysWhispers 通过生成植入程序可以用来进行直接系统调用的头文件/ASM 文件来帮助规避。 从Windows XP到Windows 10 19042(20H2),都支持所有核心syscall。 在example-output/文件夹中可用的示例生成文件。 介绍 各种安全产品在用户模式 ​​API 中放置钩子,允许它们将执行流重定向到它们的引擎并检测可疑行为。 ntdll.dll中生成系统调用的函数仅包含一些汇编指令,因此在您自己的植入物中重新实现它们可以绕过这些安全产品挂钩的触发。 该技术由推广,他的有更多值得阅读的技术细节。 SysWhispers 为红队人员提供了为核心内核映像 ( ntoskrnl.exe ) 中的任何系统调用生成标头/ASM 对的能力,该功能适用​​于从 XP 开始的任何 Windows 版本。 标头还将包括必要的类型定义。 这与 POC 之
SysWhispers2:通过直接系统调用进行AVEDR规避
03-08
SysWhispers2 SysWhispers通过生成植入程序可用来进行直接系统调用的标头/ ASM文件来帮助规避。 支持所有核心系统调用,并且在example-output/文件夹中提供了示例生成的文件。 SysWhispers 1和2之间的区别 用法与几乎相同,但是您不必指定要支持的Windows版本。 大部分更改都在后台进行。 它不再依赖的,而是使用流行的“ ”技术。 这显着减小了syscall存根的大小。 SysWhispers2中的特定实现是@modexpblog代码的变体。 一个区别是函数名称哈希在每一代中都是随机的。 ,谁曾这种技术早些时候,有另一个基于C ++ 17,这也是值得一试。 原始的SysWhispers存储库仍处于运行状态,但将来可能会弃用。 介绍 各种安全产品在用户模式API函数中放置了钩子,使它们可以将执行流重定向到其引擎并检测可疑行为。 进行系统
SysWhispers2_x86:X86版本的syswhispers2 x86直接系统调用
03-06
SysWhispers2_x86 SysWhispers2只支持x64,在此基础上作一点微小的工作,使用方法与注意要在vs x86模式编译生成,不要在x64模式。 由于syswhisper2仅支持x64,因此我们在此基础上做了一些工作,其使用方法与syswhisper2相同。 SysWhispers2_ x86_ Sysenter负责生成32位程序并在32位系统上运行,Syswhisper2_ x86_ Wow64gate负责生成32位程序并在64位系统上运行。 当心! 在vs x86模式下构建,而不在x64模式下构建。
探索SysWhispers2_x86:一个强大的Windows内核模块静默加载工具
gitblog_00066的博客
03-27 265
探索SysWhispers2_x86:一个强大的Windows内核模块静默加载工具 项目地址:https://gitcode.com/mai1zhi2/SysWhispers2_x86 SysWhispers2_x86是一个开源项目,由开发者mai1zhi2创建,旨在帮助安全研究人员和系统工程师在x86架构的Windows系统中实现内核模块的无声加载。该项目利用了特定的技术策略,使得在不触发常规防...
进程的创建编写一段程序,使用系统调用fork()创建两个子进程。当此程序运行时,
03-13
编写一段程序,使用系统调用fork()创建两个子进程。当此程序运行时, 在系统中有一个父进程和两个子进程活动。 让每一个进程在屏幕上显示一个字符:父进程显示“A”; 子进程分别显示字符“b”和“c”。试观察记录...
QtAndroid详解(4):JNI调用Android系统功能(1)
热门推荐
安晓辉生涯——聚焦程序员的职业规划与成长
03-01 1万+
在Qt中,通过 Qt JNI 类库调用 Android 系统功能,判断网络状态,获取SDK版本,获取各种资源目录(外部存储、数据、图片、音乐、视频等),获取当前应用信息……
探索SysWhispers3:深入系统调用的秘密武器
gitblog_00088的博客
04-25 454
探索SysWhispers3:深入系统调用的秘密武器 SysWhispers3SysWhispers on Steroids - AV/EDR evasion via direct system calls. 项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers3 是一个开源项目,它专注于提供一种低噪音、高隐蔽性的系统调用接口利用技术。该项目的主要...
syscall函数(调用底层,非windowsAPI)去执行shellcode
bring_coco的博客
08-30 393
首先使用github提供的项目https://github.com/klezVirus/SysWhispers3。ConsoleApplication3.c:(该payload是弹出计算器,还需要后续去改成上线cs)因为syscall特征非常明显,静态特征就很容易被识别到。syscalls_mem.h也是需要编译的,也是默认的。其他三个都是自动生成的,位置放好相应路径即可。因为这个文件要生成,所以不需要做下面的改动。然后我放到360杀毒中,会报毒。应该是检测到了syscall。可以看到成功弹出计算器。
SysWhispers3WinHttp免杀----ConsoleApplication814项目
bring_coco的博客
08-28 246
使用项目:https://github.com/huaigu4ng/SysWhispers3WinHttp。过不了windows defender,放上去直接杀,更别说运行了,没办法用此项目的人太多了。通过cs生成beacon.bin,放到vps,开启http服务。在原项目上改改吧,改改还是很牛逼的。360安全卫士和360杀毒可以过。注意用gcc编译,vs编译报错。
探索SysWhispers3WinHttp:一款强大的Windows系统调用隐蔽通信工具
gitblog_00002的博客
04-18 403
探索SysWhispers3WinHttp:一款强大的Windows系统调用隐蔽通信工具 SysWhispers3WinHttpSyscall免杀项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers3WinHttp SysWhispers3WinHttp是一个开源项目,由GitHub用户huaigu4ng开发,其主要目标是提供一种在Windows环...
推荐项目:SysWhispers3 —— 打破常规的系统调用黑科技
最新发布
gitblog_01090的博客
08-19 718
推荐项目:SysWhispers3 —— 打破常规的系统调用黑科技 SysWhispers3SysWhispers on Steroids - AV/EDR evasion via direct system calls. 项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers3 在当今的安全研究领域,规避高级安全防护机制已成为红队操作和逆向工程中不...
SysWhispers3使用手册
gitblog_00834的博客
08-19 334
SysWhispers3使用手册 SysWhispers3SysWhispers on Steroids - AV/EDR evasion via direct system calls. 项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers3 一、项目目录结构及介绍 SysWhispers3是一个旨在增强软件安全性与隐匿性的工具,专注于通过直接系...
AV/EDR 免杀逃避技术汇总
jentle8的博客
09-08 2352
EDR AV 逃避和免杀方案汇总
红队免杀培训-手把手教使用系统调用(上)
Gamma_lab的博客
03-18 611
1.前言: 为了应对,AV/EDR对一些常规windows的api的监控,使用的github项目为Syswhispers,其实CS官方有个付费工具包叫 CobaltStrike Artifact,可以定制化生成有效负载,当然其中也包括了使用系统调用,替换掉beacon里面的api函数,当然付费真的用不起,对于穷人来说,只能靠手动冲! 2.实现: 在此之前,我们得想一想我们该替换什么api,我们需要用到什么api,看以下加载器的示例: #include <iostream> #include &l
网络靶场实战-安全开发之直接系统调用
蛇矛实验室
12-13 576
熟悉 Windows 编程的人应该知道,Native API 一般是不直接对外公开的,它通常作为操作系统内部的一个组件,并且只能由操作系统内部的组件或应用程序调用,所以在使用一些未文档的化的 Native API 时,需要通过网上公开的资料或者通过逆向取获取其函数原型和相关参数。在安全研发的过程中,难免会遇到在用户模式对抗 AV/EDR 的挂钩,应对的方法有很多,比如可以使用直接系统调用,还可以将杀软的所挂的钩子解除,还有一种就是寻找具有相同功能未被挂钩的 API。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

强妲佳Darlene

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值