通过将资源拼凑在一起创建一个实现常见 EDR/AV 规避技术的 shellcode 加载器。
loader.nim
用您自己的 x64 shellcode 替换字节数组
- 编译 EXE 并运行它:
nim c -d:danger -d:strip --opt:size "loader.nim" - 可能通过查看您正在使用的注入文件夹方法的 .nim 文件来调整您要注入的进程...
- 从 NTDLL 动态解析的直接系统调用
- AMSI 和 ETW 补丁
- NTDLL 脱钩
- CreateRemoteThread 注入
- 过程空心技术
- 使用 [CTR 模式下的 AES] 的 Shellcode 加密/解密( https://en.wikipedia.org/wiki/Block\_cipher\_mode\_of\_operation#Counter\_(CTR)
- 用系统调用替换所有兼容的 API 调用
- 添加模板生成器和编译器、shellcode 的命令行参数、注入方法、进程路径等
https://githu b.com/adamsvoboda/nim-loader
如有侵权,请联系删除
推荐阅读
查看更多精彩内容,还请关注 橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“ 再看 ”