MemoryEvasion

已于 2022-11-18 16:35:03 修改
阅读量1.4k 收藏 1
点赞数
文章标签: c++ 网络安全
于 2022-10-27 21:42:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xmd213131/article/details/127553167
版权
本文介绍了如何利用MemoryEvasion Loader来规避Moneta, Pe-sieve和Hunt-Sleeping-Beacons的检测。针对Pe-sieve和Moneta,通过修改私有内存保护类型和加密来避免shellcode检测;对BeaconEye,通过创建新堆并hook GetProcessHeap来隐藏配置文件;对于Hunt-Sleeping-Beacons,通过替换sleep函数实现Bypass。该Loader适用于CobaltStrike的http/https Stager/Stagerless,但需要添加shellcode获取方法以增强免杀能力。" 6326059,811662,XML到图片转换,"['XML解析', '图像处理', '数据解码', 'Java开发']
摘要由CSDN通过智能技术生成

文章目录

前言

CobaltStrike自3.1.2就引入了SleepMask套件,SleepMask套件可以在http/https或dns Beacon进入sleep的时候混淆Beacon和堆。但是泄露的CS SleepMask已经被分析烂了,于是就自己写了个在睡眠状态混淆代码的Loader。

一、Bypass Moneta And Pe-sieve

1.检测原理

Pe-sieve和Moneta对可疑私有内存的检测比较类似,均是使用VirtualQuery或者NtQueryVirtualMemory或者StackWalk获取要检测的内存的信息,通过获取到的信息对内存进行一个判断。
(其中通过StackWalk获取到rip,通过判断rip的值是否在模块的地址范围内,如果在就获取其模块的名称,如果不在则说明可能是shellcode)

Pe-sieve枚举地址是否在模块内
在这里插入图片描述

Moneta对私有内存的检测:
1.判断内存是否为私有类型
2.判断内存是否可执行
3.判断内存是否为image并且起始地址是否没有任何模块内
4.判断线程的起始地址是否没有在任何模块内
在这里插入图片描述
检测原理就不再继续赘述,可以去GitHub下载源码自行查看

2.Bypass方法

私有可疑内存:
知道了他们扫描的原理之后,那么对抗的方法也很清晰了,我们可以使用VirtualQuery枚举当前进程的所有内存的AllocationBase,然后找到内存类型为RWX/RX的私有内存修改其保护类型并加密

ProcessHacker查看未加密的内存:
在这里插入图片描述

ProcessHacker查看加密的内存:
在这里插入图片描述
实现代码:

 		GetSystemInfo(&info);
        CurrentAddr = (DWORD64)info.lpMinimumApplicationAddress;

        while (CurrentAddr < (DWORD64)info.lpMaximumApplicationAddress)
        {
   
            VirtualQuery((LPCVOID)CurrentAddr, &mbi, sizeof(MEMORY_BASIC_INFORMATION));
            if (((mbi.Protect == PAGE_EXECUTE_READWRITE || mbi.Protect == PAGE_EXECUTE_READ) && (mbi.Type & MEM_PRIVATE))
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用MinHook进行APIHook
qq_38493448的博客
01-21 4324
文章目录一、Hook概述1.1 什么是Hook1.2 什么是APIHook1.3 Hook过程理解二、Hook分类2.0 分类概述2.1 Address Hook2.2 Inline Hook2.3 基于异常处理的Hook三、MinHook库介绍3.1 MinHook代码3.2 头文件定义中文说明:四、Hook实现过程 一、Hook概述 1.1 什么是Hook “Hook” 翻译过来的意思是“挂钩” “钩子”,在程序执行的时候,在适当的位置对程序运行流程进行监控、拦截即为Hook技术。 1.2 什么是API
Process Hacker工具使用
热门推荐
李安北的博客
05-26 1万+
Process Hacker是一款免费开源的统进程管理和内存编辑器,它不仅能够帮助你查看管理进程,同时也能进行系统监视和内存编辑,帮助你监视系统资源、调试软件和检测恶意软件。 下载地址:https://process-hacker.en.softonic.com/ 使用直接双击Process Hacker.exe 简单使用 1.监控流量 首先可以监测软件的流量 2.管理服务,包含检测系统加载的驱动 3.查看软件的网络连接 4.检测磁盘读写数据,有部分软件疯狂的读写磁盘,磁盘损耗,浪费带宽。 5.F
使用minhook
kangkangailin的博客
08-09 796
minhook的使用
ProcessHacker
Fly_鹏程万里
02-04 3543
功能介绍 ProcessHacker是一款非常不错的进程分析工具,可查看所有进程信息,包括进程加载的dll、进程打开的文件、进程读写的注册表……,也可以将特定进程的内存空间Dump到本地,此外还可以查看网络连接。 工具下载 下载地址:https://processhacker.sourceforge.io/ 该软件目前有针对Windows 7、8、10和 Windows XP 、Vis...
MiniHook研究
yinhaijing123的专栏
04-12 1697
git hub 地址: https://github.com/RaMMicHaeL/minhook
mingw64.exe - 辅助
DTJ_74的专栏
02-24 4502
mingw32 mingw-w64-i686-3proxy 0.8.9-1 mingw32 mingw-w64-i686-4th 3.62.5-1 mingw32 mingw-w64-i686-MinHook 1.3.3-1 mingw32 mingw-w64-i686-OpenSceneGraph 3.6.0-3 mingw32 mingw-w64-i686-OpenSceneGraph-de...
开源项目推荐:Hook逆向技术之API拦截,Detours
$firecat利白的代码足迹$
09-30 1891
1、开源项目 Detours Detours 是一个软件包,用于在 Windows 上监视和检测 API 调用。 https://www.microsoft.com/en-us/research/project/detours/ https://github.com/microsoft/detours 2、商业项目 WinAPIOverride http://jacquelin.potier.free.fr/winapioverride32/ API Monitor http:/.
变不可能为可能 - .NET Windows Form 改变窗体类名(Class Name)有多难?续篇
weixin_30920091的博客
05-12 280
  发布《.NET Windows Form 改变窗体类名(Class Name)有多难?》转眼大半年过去了,要不是在前几天有园友对这篇文章进行评论,基本上已经很少关注它了,毕竟那只是一个解惑的研究,在开发中没什么实际的用处。但是由于Squares园友的评论,结合最近自己相关的工作,灵感一现,却真的找到了解决之法,不得不感慨一下,“问题总是会有解决办法的,只是自己能力不够或一时没想到而已”。好了...
简单使用工具提取cobalt strike马
kernweak的博客
10-28 1581
针对hw,很多红队开发人员,都是简单加工了下CS马,套了层外壳,针对于这类样本的分析提取CS,可以使用工具快速分析提取CS的beacon,并不要什么太多操作。 首先拿到样本,先常规提取恶意PE文件。使用pe-sieve工具。 https://github.com/hasherezade/pe-sieve 比如提取后这种未命名的就是马所在。 如果套了几层,可以关键API下断,手动dump出内存,不过国内hw那些样本大部分都是简单构造。 再判断恶意代码是否为CobaltStrike,比如实例这里,IDA看到
ProcessHacker进程查看器中文绿色版.rar
09-04
软件介绍: ProcessHacker是一款系统进程查看监视工具,能够查看详细的系统进程,包括进程的PID,CPU占用率及I/O总速率,占用的字节数及用户名称和描述。查看系统正在运行和停止的服务,本机网络状态,正在运行的网络进程及本地/远程IP地址及使用的协议状态。可查找句柄或DLL,查看系统信息,CPU内存磁盘及网络信息。
processhacker:免费,强大,多功能的工具,可帮助您监视系统资源,调试软件和检测恶意软件
01-28
流程黑客 一个免费,功能强大的多功能工具,可帮助您监视系统资源,调试软件和检测恶意软件。 - 系统要求 Windows 7或更高版本,32位或64位。 特征 突出显示系统活动的详细概述。 图形和统计信息使您可以快速跟踪资源消耗和失控过程。 无法编辑或删除文件? 发现哪些进程正在使用该文件。 查看哪些程序具有活动的网络连接,并在必要时关闭它们。 获取有关磁盘访问的实时信息。 使用内核模式,WOW64和.NET支持查看详细的堆栈跟踪。 超越services.msc:创建,编辑和控制服务。 体积小,便于携带,无需安装。 100%( ) 建立项目 需要Visual Studio(2019或更高版本)。 如果您更喜欢使用Visual Studio构建项目,请执行位于build目录中的build_release.cmd来编译项目或加载ProcessHacker.sln和Plugins.sln解决方案。 您可以下载免费的来构建Process Hacker源代码。 增强功能/错误 请使用报告问题或提出新功能。 设定值 如果您正在从USB驱动器运行Process Hacker,则
Process Hacker中文版 v3.33
ldy721224的博客
09-01 6626
Process Hacker中文版是一款针对国内用户精心制作汉化而成的进程管理器软件,功能比系统自动的进程管理器还要强,其软件中文版界面,符合国内用户的使用习惯,摆脱了英文界面束缚,使其不受语言方面的限制障碍轻松自由地使用本软件。它不仅能够帮助你查看管理进程,同时也能进行系统监视和内存编辑,帮助你监视系统资源、调试软件和检测恶意软件,除此之外也支持网络连接程序检测功能,可以更好的调试和逆向工程。P...
ProcessHacker工具中对于进程结束的具体实现代码:
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-27 2565
Process Hacker工程下面Process Hacker目录下面termator.c文件里面。 ProcessHacker工具中对于进程结束的具体实现代码: static NTSTATUS NTAPI TerminatorTP1(     __in HANDLE ProcessId     ) {     NTSTATUS status;     HANDLE pro
发一个支持任意地点hook的类(包含驱动hook和应用层hook)
u013594602的专栏
02-07 1777
这是以前练习写驱动类的一个产物,  有点早了,很简单. 写这个类也是方便自己绕过某些驱动的保护钩子.  当然这个也只支持x86, 没有做x64的拓展. 因为只是方便自己不需要每次都copy一大堆代码; 如果需要x64的拓展的,可以参考detours 或者是 EasyHook.   比较好的是EasyHook提供了驱动的hook; 貌似关于驱动写类论坛上比较少, 对于驱动,大家更倾向于直接
ProcessHacker学习笔记
weixin_30364147的博客
05-29 1156
ProcessHacker学习笔记 ProcessHacker是一款拥有windows任务管理器的开源软件。学习该软件,可增长windows操作系统多方面系统机制知识和性能统计设计的能力。 1、获取进程内存占用率 windows系统下,无论任何版本,都可以在任务管理器下查看各个进程的内存占用率。 XP 2003系统下显示的是进程占用的内存工作集也就是PROCESS_MEMORY_C...
[Rootkit] 进程隐藏 - 内存加载(寄生&僵尸进程)
CSDN
07-16 7475
这就导致了另一个问题:同样一个段,在磁盘中相对文件起始的距离,和内存中相对imageBase的距离是不一样的(因为地址对齐,拉伸了)!所以只能把需要用到的这些系统函数统一放在一张叫做导入表的表格,explorer加载的时候还要挨个遍历导入表,一旦发现该PE文件用到了某些系统API,需要用这些API在内存的真实地址替换PE文件中call的地址(这也是用OD、x96dbg这些常见的调试器能找到这些系统函数的根本原因:都是系统提供的嘛,函数名必须保存起来,否则加载的时候没法替换成内存中真正的地址)!
Mini Hook 主要代码理解
lif12345的专栏
06-15 6045
Mini Hook是一个小巧的支持32位 64位的Hook 引擎,而且是开源的,http://www.codeproject.com/Articles/44326/MinHook-The-Minimalistic-x-x-API-Hooking-Libra 本文对mini hook的核心部分代码进行阅读并给出讲解,希望新手们能学习一些知识, //--------------------
C程序员装逼指南
再喝咖啡
10-13 545
C程序员装逼指南   文档名称:C程序员装逼指南(C Coder Zhuangbility Manual) 文档日期:2010.11.15 00 zhuangbility: 这可能是我写的最不靠谱的文档了。本文档源于光棍节前的一次玩笑,随后明白, 这东西根本没法写。一来,正如回字有几样写法一样迂腐,语言语法级别的东西 不是那么上档次;二来,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值