文章预览
DuckMemoryScan 介绍 一个简单申请包括iis劫持,无文件木马,shellcode免杀后台的工具 功能列表 HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩 内存免杀shellcode检测(metasploit、Cobaltstrike完全检测) 可疑进程检测(主要针对有逃避性质的进程[如过期签名与多可执行段]) 文件名指向木马检测(检测所有指定内存木马) 简易rootkit检测(检测证书过期/拦截读取/证书无效的驱动) 检测异常模块,检测绝大部分如“iis劫持”的后续模块 免杀木马检测原理 所有所谓的内存免杀之后大部分基于“VirtualAlloc”函数申请内存之后通过各种莫名其妙的xor命令aes加密去图标shellcode达到“免杀”效果。本工具通过线程堆栈回溯方法(StackWalkEx函数)遍历线程,寻找位于VirtualAlloc区域的代码,这样即使它很常见也会被误认为是程序申请VirtualAlloc分配内存。但大部分普通程序均不会在VirtualAlloc区域
………………………………