文章预览
基本介绍 D arkPulse是一个用go编写的shellcode Packer,可用于生成各种各样的shellcode loader,目前可过火绒,360,360核晶。 主要特点 使用sgn编码,使用了EgeBalci/sgn提供的二进制文件。 支持aes/xor加密,uuid/words混淆,支持间接syscall和unhook两种模式下的callback,fiber,earlybird三种加载方式。 间接sysacll参考了SysWhispers3的项目 unhook使用了自定义跳转函数的unhook方法文中所讲述的方法,文中提到的github仓库 trickster0/LdrLoadDll-Unhooking 只实现了64位下的demo,我在 LdrLoadDll-Unhooking-x86-x64 中完善了32位和64位通用的一段代码。 使用方法 为了规避内存扫描会休眠10s左右,所以并不能一下就上线,在实战中推荐使用-sandbox参数,针对不同机器情况大概会休眠40s,开源之后免杀性能肯定会有所下降,但是程序提供了多个参数可以选择,有的参数组合还是可以Bypass的 简易示例1
………………………………
