【最新免杀手法】针对PE文件的分离免杀对抗工具

文摘   2024-08-16 07:00   四川  

项目介绍

项目的定位:红队人员的PE对抗辅助工具,具体的对抗思路,就仰仗各位大佬的脑洞了。也欢迎提issue,丰富工具功能。(为了更好的免杀性能,后续会酌情开源)

对于PE头的一些变形技术都比较老了,这次的学习与实践主要是某APT样本用了这保持签名有效的技术,并且支持shellcode的隐藏与识别,可以深挖的花样会很多。

利用哈希校验漏洞感染文件同时不影响签名有效性的POC,在21年就已经披露了,公开利用主要是SigFlip 这个项目。老POC是一体化的loader,我实现了分离的PE修改工具,定制化程度更高,用起来更方便。后续会持续更新深度的攻防对抗。

后续希望把对于PE文件的利用手法都整合到项目中,因此将项目命名为PECracker。


使用方法

目前实现了文件头伪装(暴力不优雅版)和证书区段数据嵌入,后续继续更新

.\PECracker.exe ( )\ )      (                   )(()/((     )\  (      )     ( /(   (  ( /(_))\  (((_) )(  ( /(  (  )\()) ))\ )((_))((_) )\___(()\ )(_)) )\((_)\ /((_|()\| _ \ __((/ __|((_|(_)_ ((_) |(_|_))  ((_)|  _/ _| | (__| '_/ _` / _|| / // -_)| '_||_| |___| \___|_| \__,_\__||_\_\\___||_|
written by https://github.com/berryalen02/PECrackerUsage: PECracker.exe [command]
Available Commands: crack 文件头证书区段感染 help Help about any command replace 文件头替换伪装
Flags: -h, --help help for PECracker.exe

文件头替换

PECracker.exe replace extract [PE file] [output] [flags]PECracker.exe replace import [HeaderFile] [target] [flags]

证书区段数据嵌入

PECracker.exe crack inject [PeFile] [output] [ShellcodeFile] [flags]

自定义标注数据

.\PECracker.exe crack inject QQMusic.exe test.exe calc.bin --embedData 0xdeadbeefdeadbeef --embedSize 8 ( )\ )      (                   )(()/((     )\  (      )     ( /(   (  ( /(_))\  (((_) )(  ( /(  (  )\()) ))\ )((_))((_) )\___(()\ )(_)) )\((_)\ /((_|()\| _ \ __((/ __|((_|(_)_ ((_) |(_|_))  ((_)|  _/ _| | (__| '_/ _` / _|| / // -_)| '_||_| |___| \___|_| \__,_\__||_\_\\___||_|
written by https://github.com/berryalen02/PECracker[*] size of shellcode: 276[*] PE文件修改成功

效果展示


以下测试均采用最简单的msf生成的calc.bin,无混淆





感染PE文件后不影响执行




360和wdf无检出

传了几个沙箱




免责声明

由于传播、利用DecryptTools综合解密工具提供的功能而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本人不为此承担任何责任

下载地址

点击下方名片进入公众号

回复关键字【240816】获取下载链接


·推 荐 阅 读·

最新后渗透免杀工具

【护网必备】高危漏洞综合利用工具

   【护网必备】Shiro反序列化漏洞综合利用工具增强版

【护网必备】外网打点必备-WeblogicTool

护网必备】最新Struts2全版本漏洞检测工具

Nacos漏洞综合利用工具

重点OA系统漏洞利用综合工具箱  

【护网必备】海康威视RCE批量检测利用工具

【护网必备】浏览器用户密码|Cookie|书签|下载记录导出工具


横向移动之RDP&Desktop Session Hija


七芒星实验室
未知攻,焉知防,以攻促防,共筑安全!
 最新文章