主要观点总结
DuckMemoryScan工具功能介绍,包括iis劫持、无文件木马、shellcode免杀后台的检测以及其他相关安全检测。
关键观点总结
关键观点1: 工具功能概览
DuckMemoryScan是一个用于检测内存安全威胁的工具,提供iis劫持、无文件木马、shellcode免杀后台的检测功能,还包括HWBP hook检测、可疑进程检测、文件名指向木马检测、简易rootkit检测等。
关键观点2: 内存免杀木马检测原理
该工具通过线程堆栈回溯方法(StackWalkEx函数)来检测内存中的免杀木马。这些木马利用VirtualAlloc函数申请内存,并通过各种加密手段隐藏自身。工具能够遍历线程并寻找位于VirtualAlloc区域的代码。
关键观点3: 无文件落地木马检测原理
无文件落地木马的特征是内存段有MZ标志,线程指向一个NOIMAGE内存。本工具能够检测出这种异常模块的存在。
关键观点4: 其他安全检测功能
除了针对特定威胁的检测外,DuckMemoryScan还提供其他安全检测功能,如可疑进程检测、文件名指向木马检测以及简易rootkit检测等。
关键观点5: 工具用途和版权声明
该工具仅供安全目的的学习交流使用,任何人不得用于非法用途及盈利等目的。项目地址链接为https://github.com/huoji120/DuckMemoryScan,文章来源为Hack之道黑白之道发布或转载的文章。
文章预览
DuckMemoryScan介绍一个简单申请包括iis劫持,无文件木马,shellcode免杀后台的工具功能列表HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩内存免杀shellcode检测(metasploit、Cobaltstrike完全检测)可疑进程检测(主要针对有逃避性质的进程[如过期签名与多可执行段])文件名指向木马检测(检测所有指定内存木马)简易rootkit检测(检测证书过期/拦截读取/证书无效的驱动)检测异常模块,检测绝大部分如“iis劫持”的后续模块免杀木马检测原理所有所谓的内存免杀之后大部分基于“VirtualAlloc”函数申请内存之后通过各种莫名其妙的xor命令aes加密去图标shellcode达到“免杀”效果。本工具通过线程堆栈回溯方法(StackWalkEx函数)遍历线程,寻找位于VirtualAlloc区域的代码,这样即使它很常见也会被误认为是程序申请VirtualAlloc分配内存。但大部分普通程序均不会在VirtualAlloc区域内执行
………………………………
