探索新领域:Fido —— 让旧的Shellcode焕发新生
项目介绍
fido
是一个开源工具,专为Windows平台的x86(32位或64位)Shellcode设计,它的目的是去除Stephen Fewer的哈希API预处理代码,并将其替换为能绕过EMET(Enhanced Mitigation Experience Toolkit)Caller和EAF+检查的新方法,同时保持原API调用的正常运作。
项目技术分析
fido
利用输入的Metasploit生成的Shellcode,通过识别并移除特定的哈希API,然后采用一种新的方法来实现API调用,以避免被EMET等安全防护软件检测到。工具的核心是解析Shellcode中的API调用,并构建一个查找表,使得执行时能够避开安全防护检查。它可以处理标准输入输出,也可以从文件读取和输出。
应用场景
fido
可广泛应用于各种渗透测试场景,尤其是当需要在被EMET或其他高级防御机制保护的目标系统上执行自定义Shellcode时。例如:
- 漏洞利用开发:在设计针对Windows系统的本地提权或远程代码执行漏洞利用时。
- 逆向工程研究:理解如何绕过现代安全机制,学习先进的Shellcode编写技巧。
- 安全审计:评估目标系统是否真正抵挡住了基于API滥用的攻击。
项目特点
- 兼容性广:支持Windows XP至Windows 10多个版本。
- 智能处理:自动识别并处理Stephen Fewers的哈希API,无需手动干预。
- 灵活性高:提供多种解析器选项,如GPA、LLAGPA、ExternGPA等,适应不同场景。
- 定制性强:可指定目标二进制文件和DLL导入表,为特定环境优化Shellcode。
- 易用性好:清晰的命令行参数说明,方便快速上手和自动化集成。
要了解更多关于fido
的工作原理和技术细节,请参考作者提供的演示视频和演讲材料,包括REcon BR Slides、Defcon 25 Slides以及两个演示视频。
总而言之,无论您是渗透测试工程师还是对Windows系统安全有深度研究的技术爱好者,fido
都是一个值得尝试的实用工具,它将帮助您更有效地应对现代安全挑战,让旧的Shellcode在新的对抗环境中找到生存之道。立即加入,一起探索安全的未知世界吧!