使用了非标准扩展: 不支持在此结构上使用“__asm”关键字_[翻译]CobaltStrike 使用Beacon Object Files(BOF)进行 Direct Syscalls...

最新推荐文章于 2023-11-25 10:55:41 发布
最新推荐文章于 2023-11-25 10:55:41 发布
阅读量2.6k 收藏 1
点赞数 1
文章标签: 使用了非标准扩展: 不支持在此结构上使用“__asm”关键字
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36352432/article/details/113369330
版权

原文链接:https://outflank.nl/blog/2020/12/26/direct-syscalls-in-beacon-object-files/ 原文作者:Cornelis de Plaa

在这篇文章中,我们将探讨在Cobalt Strike使用BOF进行直接系统调用(direct system calls)。具体来说:

1.说明如何在Cobalt Strike BOF中使用直接系统调用来规避典型的AV和EDR检测。2.发布InlineWhispers:一个脚本,使在BOF代码中使用Direct Syscalls更加容易。3.提供概念验证BOF代码,该代码可用于通过修补LSASS进程内存来启用WDigest凭据缓存和规避凭据保护。

PoC的源代码可以在这里找到:https://github.com/outflanknl/WdToggle

InlineWhispers的源代码可以在这里找到:https://github.com/outflanknl/InlineWhispers

Beacon Object Files

Cobalt Strike最近引入了一个新的代码执行概念,叫做 Beacon Object Files[1](以下简称为BOF)。这使Cobalt Strike可以在Beacon进程中执行一小段已编译的C代码。

这有什么好处?最重要的是,我们摆脱了名为fork&run的概念。在BOF出来之前,fork&run是在Cobalt Strike中运行作业的默认机制。这意味着为了执行大多数开发后功能,将启动一个牺牲进程(使用spawnto参数指定),随后将攻击的payload作为反射DLL注入该过程。从AV、EDR的角度来看,它具有可以检测到的各种特征,例如进程产生,进程注入和内存中的反射DLL。在许多现代环境中,fork&run很容易演变成OPSEC(行动安全Operations security)的灾难。使用BOF,我们可以在Beacon当前过程的上下文中运行与位置无关的已编译代码,这更加隐蔽。

尽管BOF概念的引入对于在后渗透开发中绕过AV、EDR迈出了重大一步,但我们仍然需要面对AV、EDR产品HOOK系统API的问题。在2019年6月,我们发布了有关Direct Syscalls的博客文章[2],并展示了一个如何使用它绕过AV、EDR软件的示例。到目前为止,我们还没有看到Direct Syscalls在BOF的利用࿰

最低0.47元/天 解锁文章
培根悖论唠唠嗑
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何使用Visual_Studio编程调试ASM汇编语言程序_masm_9
01-10
如何使用Visual_Studio IDE环境编程调试ASM汇编语言程序 masm9
VS2015_使用NASM编译64位汇编文件
06-14
在本文中,我们将深入探讨如何在Visual Studio 2015 (VS2015)环境中使用Netwide Assembler (NASM)来编译64位汇编语言程序。 NASM是一个流行的开源汇编器,支持多种架构,包括x86和x86_64。了解如何在这样的集成开发...
在vs2022编辑c语言汇编代码报错 使用非标准拓展:不支持在此结构使用“——asm关键字”...
weixin_42613018的博客
01-12 2275
这个错误提示是因为在 Visual Studio 2022 中编写的 C 语言代码中使用了 "__asm" 关键字,而这是一个非标准扩展。在 C 语言中,"__asm" 关键字用于包含汇编语言代码,但是这个关键字并不是 C 标准的一部分。因此,如果要在 Visual Studio 2022 中编写汇编代码,应该使用其他方法,例如使用 inline 汇编。 ...
VS2010 X64汇编(使用非标准扩展: 不支持在此结构使用“_asm关键字解决方法)
日月忽其不淹兮,春与秋其代序 认知即成长
01-06 2万+
原因:VS x64平台不支持内联汇编 解决方法 步骤1.新建->常规->空项目 2.项目点击右键,选择生成自定义 3.选中masm,确定 4.项目->右键->添加新建项 5.选择text文件,文件扩展名为.asm 6.项目->右击->属性->配置属性->链接器->系统->子系统
VS2022 c和汇编同时用报错 使用非标准扩展: 不支持在此结构使用“__asm关键字
C__Error的博客
10-18 641
只需要将图中debug处的x64改为x86即可成功编译。
VC6移植VS2017记录
qq_31042143的博客
04-05 882
VC6移植VS2017记录 1 typedef void * POINTER_64 PVOID64; windows kits\10\include\10.0.16299.0\um\winnt.h(390): error C2146:语法错误: 缺少“;”(在标识符“PVOID64”的前面) 原因 winnt.h包含了#include <basetsd.h> 添加directx 9.0c的头文件以后,directx9的头文件也包含了<basetsd.h>,造成引用冲突,调整in
在 Visual C++ 中使用内联汇编,VC内联ASM汇编,混合使用C和汇编代码的程序(用__asm写c函数)
04-17
在Visual C++中,内联汇编通过`__asm`关键字来实现。这种混合编程方式可以将汇编代码无缝集成到C/C++函数中,使得开发者能够精确地控制处理器的操作,例如进行位操作、优化循环或者直接访问硬件寄存器。 内联汇编的...
ASM.rar_VB模糊_VB边缘检测_protuer的asm使用_vb 边缘检测_图像模糊检测
09-24
在这里提到ASM,可能是为了说明在VB中如何调用汇编代码进行图像处理的底层优化,或者使用Protuer生成的ASM代码与VB程序结合,以提高图像处理的效率。 4. **VB_边缘检测**:这是对上述模糊和边缘检测的强调,说明这...
ASM.rar_protues_万向灯 asm上的
09-21
标题中的"ASM.rar_protues_万向灯 asm上的"揭示了这个压缩包文件的主要内容,它包含了一套基于Protues软件的万向灯(转向灯)的模拟设计和ASM(Assembly,汇编语言)源代码。Protues是一款流行的虚拟原型设计工具,...
VS2010中编写x64汇编的具体方法.docx
12-30
编写涉及系统特性的一些底层程序,特别是ShellCode,不可避免地要采用直接编写汇编代码的方式。 在目标平台为x86模式时,可以直接使用内联汇编,这个很多人都比较熟悉了,也非常地方便。 但是当目标平台为x64时,微软不再允许直接内联汇编了,这给我们编程造成了一些不便。 怎么解决这个问题呢? 一种办法是改用Intel的编译器,它仍然支持内联汇编。 另一种办法还是用VS了,但是不能内联,需要把汇编部分单独写到一个asm文件里,然后在其它源文件中引用。
X64平台CC++与汇编混编工程搭建说明
10-18
X64平台CC++与汇编混编工程搭建说明,非常详细,内容简单明了
error C4235: 使用非标准扩展: 不支持在此结构使用“_asm关键字
v_wus的博客
12-23 8805
error C4235
error C4235: nonstandard extension used: ‘__asm‘ keyword not supported on this architecture
最新发布
本博客仅供免费阅读,不提供咨询服务。请勿私信。
11-25 728
使用非标准扩展:此体系结构支持关键字“__asm” 编译器不支持使用关键字。例如,安腾处理器系列(IPF)编译器不支持_asm关键字。所有程序集代码都必须写在单独的文件中,或者应该通过内部函数使用。有关更多信息,请参阅“英特尔64位平台上可用的内部特性”。此警告会自动升级为错误。如果您希望修改此行为,请使用#pragma警告。例如,要将C4235设置为2级警告,请使用以下代码行。要么安装Intel C++ Compiler XE。32位程序不能在64位模式下编译。要么以32位方式编译,
Windows环境下编译OpenCV3.1和OpenCV_contrib
eagelangel的专栏
02-24 1万+
参考 https://segmentfault.com/a/1190000003496009 说明一下,当我编译OpenCV_contrib时,已经是要配合OpenCV3.1的版本才能编译通过,所以有要自己编译OpenCV_contrib的请尽量使用较新的OpenCV版本。 一、下载安装 OpenCV3.1下载地址:http://sourceforge.net/project
VS编译64位汇编时报错:error C4235: 使用非标准扩展: 不支持在此结构使用“_asm关键字
热门推荐
日月忽其不淹兮,春与秋其代序 认知即成长
02-02 3万+
VC++只支持32位内联汇编,那么如何使用_asm关键字;error C4235: 使用非标准扩展: 不支持在此结构使用“_asm关键字
VS2017将X64转换成X86
xf555er的博客
08-14 2648
作者在将一个X86平台的项目拖入X64平台的VS的过程中遇到了一些问题,发现此项目运行后出现如下图所示的错误信息X86平台下是可以在C/C++代码中嵌入汇编代码的,简称为“内联汇编”, 但是在X64平台下就不能使用了这里给大家演示如何在VS中将此项目从X64平台切换成X86平台。...
VisualStudio2022 编译64位汇编时报错:C4235 nonstandard extension used: ‘__asm‘ keyword not supported及C4996
CDamogu
03-22 4605
C4235 nonstandard extension used: '__asm' keyword not supported on this architecture C4996 'strcpy': This function or variable may be unsafe. Consider using strcpy_s instead. To disable deprecation, use _CRT_SECURE_NO_WARNINGS. See online help for detai
error C4235: 使用非标准扩展: 不支持在此结构使用“__asm关键字
07-09
在某些情况下,使用 `__asm` 关键字可能会导致编译错误 C4235,错误信息为“使用非标准扩展: 不支持在此结构使用“__asm关键字”。这个错误通常发生在使用 `__asm` 关键字时的语法或语义错误。 有几个可能导致此错误的原因和解决方法: 1. C4235错误可能是因为 `__asm` 关键字被用于了一个不支持内联汇编的上下文,如结构体、类、函数定义等。确保 `__asm` 关键字在正确的位置使用。通常,`__asm` 关键字应该在函数内部使用。 2. 另一个可能的原因是使用了不受支持的内联汇编语法。不同的编译器对于内联汇编的语法要求可能存在差异。确保使用的是编译器支持扩展汇编器语法。在不同的编译器文档中可以找到有关正确语法的信息。 3. 如果你正在使用较新版本的编译器,可能它不再支持 `__asm` 关键字,而是采用其他替代方案。在这种情况下,你应该查阅编译器的文档,了解替代方案或推荐的方式来实现内联汇编。 需要注意的是,内联汇编是一个平台特定的特性,不同的编译器和架构可能有不同的要求和限制。在使用内联汇编时,应仔细阅读编译器文档,确保使用正确的语法和语义,并遵循编译器的规则和限制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值