av激情亚洲男人的天堂国语,日韩欧美精品一中文字幕,无码av一区二区三区无码,国产又色又爽又刺激的a片,国产又色又爽又刺激的a片

如何使用ThreadStackSpoofer隱藏Shellcode的內(nèi)存分配行為

關(guān)于ThreadStackSpoofer

ThreadStackSpoofer是一種先進(jìn)的內(nèi)存規(guī)避技術(shù),它可以幫助廣大研究人員或紅/藍(lán)隊(duì)人員更好地隱藏已注入的Shellcode的內(nèi)存分配行為,以避免被掃描程序或分析工具所檢測(cè)到。

目前成都創(chuàng)新互聯(lián)公司已為成百上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、虛擬主機(jī)網(wǎng)站運(yùn)營(yíng)、企業(yè)網(wǎng)站設(shè)計(jì)、紅花崗網(wǎng)站維護(hù)等服務(wù),公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng),共同發(fā)展。

ThreadStackSpoofer是線程堆棧欺騙技術(shù)的一個(gè)示例實(shí)現(xiàn),旨在規(guī)避惡意軟件分析、反病毒產(chǎn)品和EDR在檢查的線程調(diào)用堆棧中查找Shellcode幀的引用。其思想是隱藏對(duì)線程調(diào)用堆棧上針對(duì)Shellcode的引用,從而偽裝包含了惡意代碼的內(nèi)存分配行為。

在該工具的幫助下,可以幫助現(xiàn)有的商業(yè)C2產(chǎn)品安全性有更好的提升,并協(xié)助紅隊(duì)研究人員開發(fā)出更好的安全產(chǎn)品/工具。

工具運(yùn)行機(jī)制

ThreadStackSpoofer的大致運(yùn)行機(jī)制和算法如下所示:

  • 從文件中讀取Shellcode的內(nèi)容;
  • 從dll獲取所有必要的函數(shù)指針,然后調(diào)用SymInitialize;
  • 設(shè)置kernel32!Sleep狗子,并指向回我們的回調(diào);
  • 通過(guò)VirtualAlloc + memcpy + CreateThread注入并啟動(dòng)Shellcode。線程應(yīng)該通過(guò)我們的runShellcode函數(shù)啟動(dòng),以避免線程的StartAddress節(jié)點(diǎn)進(jìn)入某些意外或異常的地方(比如說(shuō)ntdll!RtlUserThreadStart+0x21);
  • 當(dāng)Beacon嘗試休眠的時(shí)候,我們的MySleep回調(diào)便會(huì)被調(diào)用;
  • 接下來(lái),我們將棧內(nèi)存中最新返回的地址重寫為0;
  • 最后,會(huì)發(fā)送一個(gè)針對(duì)::SleepEx的調(diào)用來(lái)讓Beacon繼續(xù)等待后續(xù)的連接;
  • 休眠結(jié)束之后,我們將恢復(fù)之前存儲(chǔ)的原始函數(shù)返回地址并繼續(xù)執(zhí)行掛起的任務(wù);

函數(shù)的返回地址會(huì)分散在線程的堆棧內(nèi)存區(qū)域周圍,由RBP/EBP寄存器存儲(chǔ)其指向。為了在堆棧上找到它們,我們需要首先收集幀指針,然后取消對(duì)它們的引用以進(jìn)行覆蓋:

 
 
 
    
  
  
  
  1. *(PULONG_PTR)(frameAddr + sizeof(void*)) = Fake_Return_Address; 
    2.

工具下載

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地:

 
 
 
    
  
  
  
  1. git clone https://github.com/mgeeky/ThreadStackSpoofer.git 
    2.

工具使用

使用樣例

 
 
 
    
  
  
  
  1. C:\> ThreadStackSpoofer.exe   
    2.

其中:

  • < shellcode>:Shellcode的文件路徑;
  • < spoof>:“1”或“true”代表啟用線程棧內(nèi)存欺騙,其他參數(shù)表示禁用該技術(shù);

欺騙Beacon的線程調(diào)用棧示例:

 
 
 
    
  
  
  
  1. PS D:\dev2\ThreadStackSpoofer> .\x64\Release\ThreadStackSpoofer.exe .\tests\beacon64.bin 1 
    2. 
  
  
  
  2. [.] Reading shellcode bytes... 
    3. 
  
  
  
  3. [.] Hooking kernel32!Sleep... 
    4. 
  
  
  
  4. [.] Injecting shellcode... 
    5. 
  
  
  
  5. [+] Shellcode is now running. 
    6. 
  
  
  
  6. [>] Original return address: 0x1926747bd51. Finishing call stack... 
    7. 
  
  
  
  7. ===> MySleep(5000) 
    8. 
  
  
  
  8. [<] Restoring original return address... 
    9. 
  
  
  
  9. [>] Original return address: 0x1926747bd51. Finishing call stack... 
    10. 
  
  
  
  10. ===> MySleep(5000) 
    11. 
  
  
  
  11.  
    12. 
  
  
  
  12.   
    13. 
  
  
  
  13.  
    14. 
  
  
  
  14. [<] Restoring original return address... 
    15. 
  
  
  
  15.  
    16. 
  
  
  
  16. [>] Original return address: 0x1926747bd51. Finishing call stack... 
    17.

工具使用演示

下面的例子中,演示了沒有執(zhí)行欺騙技術(shù)時(shí)的堆棧調(diào)用情況:

開啟線程堆棧欺騙之后的堆棧調(diào)用情況如下圖所示:

上述例子中,我們可以看到調(diào)用棧中最新的幀為MySleep回調(diào)。我們可以通過(guò)搜索規(guī)則查找調(diào)用堆棧未展開到系統(tǒng)庫(kù)中的線程入口點(diǎn):

 
 
 
    
  
  
  
  1. kernel32!BaseThreadInitThunk+0x14 
    2. 
  
  
  
  2. ntdll!RtlUserThreadStart+0x21 
    3.

上圖所示為未修改的Total Commander x64線程。正如我們所看到的,它的調(diào)用堆棧在初始調(diào)用堆棧幀方面與我們自己的調(diào)用堆棧非常相似。

項(xiàng)目地址

ThreadStackSpoofer:【GitHub傳送門】


網(wǎng)頁(yè)名稱:如何使用ThreadStackSpoofer隱藏Shellcode的內(nèi)存分配行為
分享路徑:http://uogjgqi.cn/article/dhpjshe.html
掃二維碼與項(xiàng)目經(jīng)理溝通

我們?cè)谖⑿派?4小時(shí)期待你的聲音

解答本文疑問(wèn)/技術(shù)咨詢/運(yùn)營(yíng)咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流