SysWhispers2 使用教程

于 2024-08-19 10:04:44 发布
阅读量414 收藏 9
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00432/article/details/141314144
版权

SysWhispers2 使用教程

SysWhispers2AV/EDR evasion via direct system calls.项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers2

1. 项目的目录结构及介绍

SysWhispers2 是一个用于生成头文件和汇编文件以进行直接系统调用的工具,主要用于绕过 AV/EDR。以下是项目的目录结构及其介绍:

SysWhispers2/
├── SysWhispers2.py
├── templates/
│   ├── template.asm
│   └── template.h
├── examples/
│   ├── example1.c
│   └── example2.c
├── README.md
└── LICENSE
  • SysWhispers2.py: 主脚本文件,用于生成头文件和汇编文件。
  • templates/: 包含生成文件的模板。
    • template.asm: 汇编文件模板。
    • template.h: 头文件模板。
  • examples/: 包含使用生成的文件的示例代码。
    • example1.c: 示例代码1。
    • example2.c: 示例代码2。
  • README.md: 项目说明文档。
  • LICENSE: 项目许可证。

2. 项目的启动文件介绍

项目的启动文件是 SysWhispers2.py。该文件是一个 Python 脚本,用于生成头文件和汇编文件。使用方法如下:

python SysWhispers2.py -m <syscall_name>

其中,<syscall_name> 是你需要生成的系统调用的名称。例如,生成 NtCreateFile 的文件:

python SysWhispers2.py -m NtCreateFile

3. 项目的配置文件介绍

SysWhispers2 没有传统的配置文件,其配置主要通过命令行参数进行。以下是一些常用的命令行参数:

  • -m <syscall_name>: 指定需要生成的系统调用名称。
  • -o <output_dir>: 指定输出目录,默认为当前目录。
  • -v: 开启详细输出模式。

例如,生成 NtCreateFile 的文件并指定输出目录为 output

python SysWhispers2.py -m NtCreateFile -o output

通过这些参数,你可以灵活地配置生成的文件和输出路径。

SysWhispers2AV/EDR evasion via direct system calls.项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers2

江涛奎Stranger
关注
SysWhispers2:通过直接系统调用进行AVEDR规避
03-08
SysWhispers2 SysWhispers通过生成植入程序可用来进行直接系统调用的标头/ ASM文件来帮助规避。 支持所有核心系统调用,并且在example-output/文件夹中提供了示例生成的文件。 SysWhispers 1和2之间的区别 用法与几乎相同,但是您不必指定要支持的Windows版本。 大部分更改都在后台进行。 它不再依赖的,而是使用流行的“ ”技术。 这显着减小了syscall存根的大小。 SysWhispers2中的特定实现是@modexpblog代码的变体。 一个区别是函数名称哈希在每一代中都是随机的。 ,谁曾这种技术早些时候,有另一个基于C ++ 17,这也是值得一试。 原始的SysWhispers存储库仍处于运行状态,但将来可能会弃用。 介绍 各种安全产品在用户模式API函数中放置了钩子,使它们可以将执行流重定向到其引擎并检测可疑行为。 进行系统
调用 dll 侵权_ShellCode免杀框架内附SysWhispers2_x86直接系统调用
weixin_30480859的博客
01-29 865
本帖最后由 mai1zhi2 于 2021-1-28 12:27 编辑文章来自:https://www.52pojie.cn/thread-1360548-1-1.html如有侵权,请联系删除1、概述之前分析CS4的stage时,有老哥让我写下CS免杀上线方面知识,遂介绍之前所写shellcode框架,该框架的shellcode执行部分利用系统特性和直接系统调用(Direct Syste...
探秘SysWhispers2:无声无息的系统级调试利器
gitblog_00084的博客
03-25 436
探秘SysWhispers2:无声无息的系统级调试利器 SysWhispers2AV/EDR evasion via direct system calls.项目地址:https://gitcode.com/gh_mirrors/sy/SysWhispers2 项目简介 是一款由开发者 J. Thuraisamy 创建的开源工具,用于在没有源代码、调试器或内核模块的情况下,实现对Windows操...
红队免杀培训-手把手教使用系统调用(上)
Gamma_lab的博客
03-18 623
1.前言: 为了应对,AV/EDR对一些常规windows的api的监控,使用的github项目为Syswhispers,其实CS官方有个付费工具包叫 CobaltStrike Artifact,可以定制化生成有效负载,当然其中也包括了使用系统调用,替换掉beacon里面的api函数,当然付费真的用不起,对于穷人来说,只能靠手动冲! 2.实现: 在此之前,我们得想一想我们该替换什么api,我们需要用到什么api,看以下加载器的示例: #include <iostream> #include &l
探索SysWhispers2_x86:一个强大的Windows内核模块静默加载工具
gitblog_00066的博客
03-27 267
探索SysWhispers2_x86:一个强大的Windows内核模块静默加载工具 项目地址:https://gitcode.com/mai1zhi2/SysWhispers2_x86 SysWhispers2_x86是一个开源项目,由开发者mai1zhi2创建,旨在帮助安全研究人员和系统工程师在x86架构的Windows系统中实现内核模块的无声加载。该项目利用了特定的技术策略,使得在不触发常规防...
SysWhispers2_x86:X86版本的syswhispers2 x86直接系统调用
03-06
SysWhispers2只支持x64,在此基础上作一点微小的工作,使用方法与注意要在vs x86模式编译生成,不要在x64模式。 由于syswhisper2仅支持x64,因此我们在此基础上做了一些工作,其使用方法与syswhisper2相同。 ...
SysWhispers:通过直接系统调用规避AVEDR
05-30
从Windows XP到Windows 10 19042(20H2),都支持所有核心syscall。 在example-output/文件夹中可用的示例生成文件。 介绍 各种安全产品在用户模式 ​​API 中放置钩子,允许它们将执行流重定向到它们的引擎并检测...
NimlineWhispers:InlineWhispers的一个非常概念验证的端口,用于在Nim项目中使用系统调用
05-24
(可选)安装 git clone https://github.com/jthuraisamy/SysWhispers.git cd SysWhispers pip3 install -r .\requirements.txt py .\syswhispers.py --versions 7,8,10 -o syscalls用于生成包含的syscalls.asm和...
信标对象文件(BOF)的直接系统调用-C/C++开发
05-27
InlineWhispers一个概念证明,用于使SysWhispers武器化,以便在Cobalt Strike Beacon目标文件中进行直接系统调用。...演示使用BOF中的内联汇编轻松使用syscall的能力。 SysWhispers git clone https:// git
浅谈 Windows Syscall
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
10-27 403
其具体含义是先解析 Ntdll.dll 的 导出地址表 EAT,定位所有以 “Zw” 开头的函数,将开头替换成 “Nt”,将 Code stub 的 hash 和地址存储在 SYSCALL_ENTRY 结构的表中,存储在表中的系统调用的索引是SSN(System Service Numbers,系统服务编号)。内核中包含了大部分操作系统的内部数据结构,所以用户模式下的应用程序在访问这些数据结构或调用内部Windows例程以执行特权操作的时候,必须先从用户模式切换到内核模式,这里就涉及到系统调用。
网络靶场实战-安全开发之直接系统调用
蛇矛实验室
12-13 582
熟悉 Windows 编程的人应该知道,Native API 一般是不直接对外公开的,它通常作为操作系统内部的一个组件,并且只能由操作系统内部的组件或应用程序调用,所以在使用一些未文档的化的 Native API 时,需要通过网上公开的资料或者通过逆向取获取其函数原型和相关参数。在安全研发的过程中,难免会遇到在用户模式对抗 AV/EDR 的挂钩,应对的方法有很多,比如可以使用直接系统调用,还可以将杀软的所挂的钩子解除,还有一种就是寻找具有相同功能未被挂钩的 API。
面向多场景应用的光网络通感一体化架构和关键技术方案研究.pdf
09-28
面向多场景应用的光网络通感一体化架构和关键技术方案研究
基于Vue框架的Digital Twin开发设计源码
09-28
该项目是基于Vue框架的Digital Twin开发设计源码,由38个文件组成,涉及TypeScript、JavaScript、Vue、CSS、HTML等多种编程语言,包括9个TypeScript文件、6个JavaScript文件、5个JSON文件、5个Vue文件、3个SVG文件、2个Markdown文件、2个WebAssembly文件、1个Git忽略文件、1个HTML文件和1个CSS文件。该源码旨在提供大学生在线学术交流的平台,助力学术创新与协作。
基于Java和C++技术的易涂鸦设计源码
09-28
该项目是一款基于Java和C++技术的易涂鸦设计平台源码,包含487个文件,其中Java源文件226个,PNG图片文件135个,XML配置文件88个,其他类型文件包括brush文件7个,gradle文件4个,jpg文件4个,gitignore文件3个,properties文件3个,md文件2个,txt文件2个。该平台专注于涂鸦功能,为用户提供便捷的设计与绘图体验。
基于HTML/CSS/JavaScript的多人在线知识交流平台博客项目设计源码
09-28
该项目是一款基于HTML、CSS和JavaScript的多人在线知识交流平台博客,设计源码包含451个文件,其中包括149个Java文件、89个JavaScript文件、60个CSS文件、42个Class文件、23个PNG图片文件、20个XML文件、17个HTML文件、12个JPG文件、6个JSON文件、5个Map文件,旨在为用户提供一个互动的知识分享与交流空间。
开关电源工作原理及电路图技术资料开发设计用的重要资料.zip
09-28
开关电源工作原理及电路图技术资料开发设计用的重要资料.zip
基于Plpgsql与Java的学生管理系统设计源码
最新发布
09-28
该项目是一款基于Plpgsql与Java开发的学生管理系统源码,总计包含190个文件。其中,165个为Java源文件,11个为XML配置文件,4个为YAML配置文件,2个为Git忽略文件,1个为Dockerfile,1个为LICENSE文件,1个为Markdown文件,1个为JSON文件,1个为Maven命令行脚本,以及1个为Windows命令文件。该系统旨在提供全面的学生信息管理功能。
Unable to create process using 'D:\Major\Python3.12\python.exe .\syswhispers.py --preset all -o syscalls_all': ???????????
06-30
这个错误提示意味着在尝试使用D:\Major\Python3.12\python.exe命令执行syswhispers.py脚本时遇到了问题,具体原因可能是: 1. **路径问题**:路径可能不正确或文件权限不足。确保D盘的Python安装路径和syswhispers....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

江涛奎Stranger

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值