SuperMega 是一个 shellcode 加载器,通过将其注入到真正的可执行文件(.exe 或 .dll)中来实现。该加载器使用 C 语言编写。
这个想法是,将 shellcode 很好地注入到非恶意的可执行文件中,这样就不容易被发现。
特征:
加密有效载荷
执行护栏,因此有效载荷仅在目标上解密
反模拟,对抗 AV 模拟器
EDR 去条件器,针对 EDR 内存扫描
保留可执行文件的所有原始属性(导入等)
非常小的装载机
利用 main 函数劫持执行代码
无需 PEB 遍历,重用 IAT 来执行 Windows API 函数
将数据注入载体 shellcode 的 .rdata 中
修补 IAT 以解决运营商缺失的功能
参考:
HITB2024 BKK“我的第一个也是最后一个 shellcode 加载器”
https://docs.google.com/presentation/d/1_gwd0M49ObHZO5JtrkZl1NPwRKXWVRm_zHTDdGqRl3Q/edit?usp=sharing
博客 Supermega Loader
https://blog.deeb.ch/posts/supermega/
博客 虫草 文件注入技术
https://blog.deeb.ch/posts/exe-injection/
用法
> ./web.py
浏览到 ` http://localhost:5001 '。
或者,使用./supermega.py --help,但它的支持不太好。
目录
data/binary/shellcodes:输入:我们想要用作输入(有效载荷)的 Shellcode
data/binary/exes/:输入:我们注入的非恶意 EXE 文件
data/source/carrier:输入:载体C模板
projects/<projectname>:输出:包含所有文件的项目目录
projects/default:输出:包含所有文件的项目目录
项目地址:
https://github.com/dobin/SuperMega
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里