专栏名称: 乌雲安全
提供关于渗透测试、社会工程学、黑产的技术及资讯
今天看啥  ›  专栏  ›  乌雲安全

一款内存马检测工具

乌雲安全  · 公众号  ·  · 2024-10-15 08:00

文章预览

介绍 一个简单申请包括iis劫持,无文件木马,shellcode免杀后台的工具 功能列表 HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩 内存免杀shellcode检测(metasploit、Cobaltstrike完全检测) 可疑进程检测(主要针对有逃避性质的进程[如过期签名与多可执行段]) 文件名指向木马检测(检测所有指定内存木马) 简易rootkit检测(检测证书过期/拦截读取/证书无效的驱动) 检测异常模块,检测绝大部分如“iis劫持”的后续模块 免杀木马检测原理 所有所谓的内存免杀之后大部分基于“VirtualAlloc”函数申请内存之后通过各种莫名其妙的xor命令aes加密去图标shellcode达到“免杀”效果。本工具通过线程堆栈回溯方法(StackWalkEx函数)遍历线程,寻找位于VirtualAlloc区域的代码,这样即使它很常见也会被误认为是程序申请VirtualAlloc分配内存。但大部分普通程序均不会在VirtualAlloc区域内执行代码 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览