SuperMega 是一个 shellcode 加载器,通过将其注入到真正的可执行文件(.exe 或 .dll)中来实现

科技   2024-12-01 15:34   广东  

SuperMega 是一个 shellcode 加载器,通过将其注入到真正的可执行文件(.exe 或 .dll)中来实现。该加载器使用 C 语言编写。

这个想法是,将 shellcode 很好地注入到非恶意的可执行文件中,这样就不容易被发现。

特征:

  • 加密有效载荷

  • 执行护栏,因此有效载荷仅在目标上解密

  • 反模拟,对抗 AV 模拟器

  • EDR 去条件器,针对 EDR 内存扫描

  • 保留可执行文件的所有原始属性(导入等)

  • 非常小的装载机

  • 利用 main 函数劫持执行代码

  • 无需 PEB 遍历,重用 IAT 来执行 Windows API 函数

  • 将数据注入载体 shellcode 的 .rdata 中

  • 修补 IAT 以解决运营商缺失的功能

参考:

  • HITB2024 BKK“我的第一个也是最后一个 shellcode 加载器”

https://docs.google.com/presentation/d/1_gwd0M49ObHZO5JtrkZl1NPwRKXWVRm_zHTDdGqRl3Q/edit?usp=sharing

  • 博客 Supermega Loader

https://blog.deeb.ch/posts/supermega/

  • 博客 虫草 文件注入技术

https://blog.deeb.ch/posts/exe-injection/

用法

> ./web.py

浏览到 ` http://localhost:5001 '。

或者,使用./supermega.py --help,但它的支持不太好。


目录

  • data/binary/shellcodes:输入:我们想要用作输入(有效载荷)的 Shellcode

  • data/binary/exes/:输入:我们注入的非恶意 EXE 文件

  • data/source/carrier:输入:载体C模板

  • projects/<projectname>:输出:包含所有文件的项目目录

  • projects/default:输出:包含所有文件的项目目录 


项目地址:

https://github.com/dobin/SuperMega


感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里

Ots安全
持续发展共享方向:威胁情报、漏洞情报、恶意分析、渗透技术(工具)等,不会回复任何私信,感谢关注。
 最新文章