SuperdEye：一款基于纯Go实现的间接系统调用执行工具

科技 2025-01-19 10:02 上海

关于SuperdEye

SuperdEye是一款基于纯Go实现的间接系统调用执行工具，该工具是TartarusGate 的修订版，可以利用Go来实现TartarusGate 方法进行间接系统调用。

该工具的目标是为了扫描挂钩的NTDLL并检索Syscall编号，然后使用它来执行间接系统调用，从而允许绕过基于函数钩子的AV/EDR。

工具功能

该工具将扫描已挂钩的 NTDLL。一旦找到目标函数，如果该函数被 AV 或 EDR 挂钩，将扫描上下相邻函数，直到找到干净的系统调用。这将允许计算目标函数的 ssn。一旦找到 ssn，就会构建一个间接系统调用。

工具运行原理如下图所示：

工具要求

Golang

工具安装

由于该工具基于Go开发，因此我们首先需要在本地设备上安装并配置好最新版本的Go语言环境。

接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：


git clone https://github.com/almounah/superdeye.git

工具使用

该工具的使用非常简单，我们只需要直接导入包并使用即可。

SuperdEye 包公开了SuperSyscall，并可直接将其用于执行间接系统调用：


import (
"fmt"
"unsafe"
 
"github.com/almounah/superdeye"
)
...
 
NTSTATUS, err = superdeye.SuperdSyscall("NtCreateThreadEx", uintptr(unsafe.Pointer(&hThread)), uintptr(0x1FFFFF), uintptr(0), handleProcess, pBaseAddress, uintptr(0), uintptr(0), uintptr(0), uintptr(0), uintptr(0), uintptr(0))
if err != nil {
        fmt.Println("Syscall was not executed... Likely the Syscall was not found or a bug...")
fmt.Println(err.Error())
}
fmt.Println("Syscall NtCreateThreadEx Made with NTSTATUS ", NTSTATUS)

为了更好的可用性，一些系统调用已经跟官方包golang.org/x/sys/windows封装到一起以实现更好的兼容性：


import (
"fmt"
"unsafe"
 
"github.com/almounah/superdeye"
"golang.org/x/sys/windows"
)
...
pBaseAddress, NTSTATUS, err := superdeye.NtAllocateVirtualMemory(windows.Handle(handleProcess), uintptr(0), uintptr(len(payloadClearText)), windows.MEM_COMMIT|windows.MEM_RESERVE, windows.PAGE_EXECUTE_READWRITE)
if err != nil {
        fmt.Println("Syscall was not executed... Likely the Syscall was not found or a bug...")
fmt.Println(err.Error())
}
fmt.Println("Syscall NtAllocateVirtualMemory Made with NTSTATUS ", NTSTATUS)
...

未来将有更多 Syscalls 与官方 Windows 包兼容（欢迎贡献superdwrapper.go的代码）。

工具运行效果

项目地址

SuperdEye：

https://github.com/almounah/superdeye

【FreeBuf粉丝交流群招新啦！

在这里，拓宽网安边界

甲方安全建设干货；

乙方最新技术理念；

全球最新的网络安全资讯；

群内不定期开启各种抽奖活动；

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复「加群」，申请加入群聊】

FreeBuf

中国网络安全行业门户

最新文章

特朗普签署文件，特赦暗网“丝绸之路”创始人

关于公示2025年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位的通知

Pwn2Own 2025首日，16个零日漏洞和200万奖金

如何使用LDAP-Monitoring-Watchdog实时监控 LDAP 目录中记录修改

大一“新生”年入100万+，别人称他天才小火炬

7-Zip高危漏洞，攻击者可绕过安全机制远程执行代码

ChopChopGo：一款针对Linux的取证数据快速收集工具

420万主机暴露，含VPN和路由器

B站2025年第一个大瓜，“代码投毒”报复用户

新型Android恶意软件模仿聊天应用窃取敏感数据

如何使用HASH创建低交互式蜜罐系统

解读出国劳务：表面邀请拍戏，实则人口交易，走上小路，却是末路！

惠普被黑客入侵，机密数据在暗网出售

黑客滥用微软VSCode 远程隧道绕过安全工具

Hannibal：一款基于C的x64 Windows代理

2025年十大最佳漏洞管理工具

Google Ads用户成恶意广告诈骗新目标，凭据及双因素认证码被盗

SuperdEye：一款基于纯Go实现的间接系统调用执行工具

2025年首个满分漏洞，PoC已公布，可部署后门

FreeBuf周报 | Azure AI被黑客越狱；Windows远程桌面网关出现重大漏洞

1亿macOS用户面临Banshee新变种威胁

Vanir：一款基于基于源代码的静态分析工具

@甲方网安人，这是坦白局，请查收你的2024年度总结

攻击者在图片中嵌入恶意代码传播窃密程序

新的UEFI安全启动漏洞可能允许攻击者加载恶意Bootkit

NativeBypassCredGuard：一款基于NTAPI的Credential Guard安全测试工具

JS敏感信息挖掘实战案例分享（文末送蓝牙音箱耳机）

最好用的文件同步工具曝6个严重漏洞，可执行远程代码

Fortinet新的零日漏洞被黑客利用

如何使用MaskerLogger防止敏感数据发生泄露

Windows远程桌面网关出现重大漏洞

美日韩称朝鲜黑客去年窃取了超过 6.59 亿美元加密货币

APKLeaks：一款针对APK文件的数据收集与分析工具

HPW大会精彩回顾：无界对话，技术交汇（内含ppt！）

不干净的视频评论区，攻击者利用Youtube传播窃密软件

议题征集 | 关于征集第六期移动互联网APP产品安全漏洞技术沙龙议题的通知

RequestShield：一款HTTP请求威胁识别与检测工具

Azure AI被黑客越狱，提供“黑客即服务”

SaaS安全大考：黑客“全明星”盘点与2025年备战指南

研究人员成功入侵苹果新型USB-C控制器

LIEF：用于解析和修改 ELF, PE 和MachO 格式的跨平台库

大量恶意npm包盯上了开发者

2025年需要防范的五大恶意软件

XXEinjector：一款功能强大的自动化XXE注射工具

2025年网络安全的关键预测

2025网安行业优质播客精选集⑤

FreeBuf周报 | AWS屡曝严重RCE漏洞；这些网安“传奇产品”都凉了？

AutoSploit：一款以Python编码的自动化大规模漏洞测试工具

超4000个Web后门通过注册过期域名被劫持

网络钓鱼活动利用CrowdStrike招聘骗局传播挖矿软件

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉