工具软件二进制安全C/C++一线开发汇编Shellcode [2021]一个简单寻找无文件落地后门与内存免杀shellcode的工具 # DuckMemoryScan 一个简单寻找无文件落地后门的工具,由huoji花了1天编写,编写时间2021-02-24 一个简单寻找包括不限于iis劫持,无文件木马,shellcode免杀后门的工具,由huoji花了1天编写,编写时间2021-02-24 !!!本程序需要64位编译才能回溯x64的程序堆栈,请勿执行32位编译!!! !!!本工具不能代替杀毒软件!!! # 运行截图  # 功能列表 1. HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩 2. 内存免杀shellcode检测(metasploit,Cobaltstrike完全检测) 3. 可疑进程检测(主要针对有逃避性质的进程[如过期签名与多各可执行区段]) 4. 无文件落地木马检测(检测所有已知内存加载木马) 5. 简易rootkit检测(检测证书过期/拦截读取/证书无效的驱动) 6. 检测异常模块,检测绝大部分如"iis劫持"的后门(2021年2月26日新增) # 免杀木马检测原理: 所有所谓的内存免杀后门大部分基于"VirtualAlloc"函数申请内存 之后通过各种莫名其妙的xor甚至是aes加密去混淆shellcode达到"免杀"效果. 本工具通过线程堆栈回溯方法(StackWalkEx函数)遍历线程,寻找系统中在VirtualAlloc区域执行代码的区域,从而揪出"免杀木马" 当然也会存在误报,多常见于加壳程序也会申请VirtualAlloc分配内存. 但大部分普通程序均不会在VirtualAlloc区域内执行代码.一般都是在.text区段内执行代码 # 无文件落地木马检测原理: 所有无文件落地木马都是一个标准PE文件被映射到内存中,主要特征如下: 1. 内存区段有M.Z标志 2. 线程指向一个NOIMAGE内存 本工具将会通过第一种特征检测出所有"无文件落地木马" # 异常模块检测原理 本工具将会扫描所有带签名程序的模块列表并且检测其中模块是否存在签名,如果不存在则发出提示.本检测存在较多误报,但将会检测到类似IIS劫持的特殊模块 # 使用方式 编译 运行 得到信息列表 # 检测出疑似后门后怎么做? 使用其他工具比如Scylla dump内存做进一步分析,本工具不打算做内存dump系列操作(时间有限不想重复造轮子) # 如何让堆栈回溯更精准 目前工具只回溯rip与eip,你可以回溯RSP或者EBP 只需修改StackFarmeEx.AddrPC.Offset即可 # 使用方式 编译 运行 得到信息列表 # 追踪这个项目 https://github.com/huoji120/DuckMemoryScan 阅读全文 2021-02-24 huoji 0 条评论
二进制安全游戏安全C/C++汇编Shellcode [2021]EAC可能使用g_CiEaCacheLookasideList检查漏洞驱动 当系统加载驱动的时候,ntoskernel.exe会call CiValidateImageHeader CiValidateImageHeader中有一个叫做CipGetFileCache的东西,当驱动加载完毕,系统会将签名信息存放到g_CiEaCacheLookasideList中作为缓存,EAC极有可能扫描这个地方去寻找有问题的驱动加载,调用链: CiValidateImageHeader->CipValidateFileInCache->CipGetFileCache->g_CiEaCacheLookasideList  阅读全文 2021-02-06 huoji 0 条评论
二进制安全渗透复现汇编Shellcode [2021]VirtualBox 6.1.16有限逃逸漏洞 这篇文章是关于最新可用版本(Windows上为VirtualBox 6.1.16)的VirtualBox转义。我们的团队Sauercl0ud发现并利用了这些漏洞,这是RealWorld CTF 2020/2021的一部分。 该漏洞是组织者已知的,要求来宾能够插入内核模块,并且在VirtualBox的默认配置上无法利用,因此影响非常有限。 非常感谢组织者举办这场伟大的比赛,特别是感谢ChenNan提出这一挑战,感谢M4x一直很乐于助人,回答了我们的问题,并通过许多演示尝试与我们坐在一起,当然还有参与编写漏洞利用程序的所有人员。 让我们来看看:D 阅读全文 2021-01-24 huoji 0 条评论
游戏安全汇编Shellcode [2021]EAC 虚拟机检测大全 目前EAC有这几个已知的方法:  请注意,还有一个方法是被虚拟化的 https://key08.com/index.php/2021/01/22/887.html anti_hv_rdtsc_time_attack是经典的RDTSC时间攻击,最早最早是国人2006年在看雪论坛上发现的方法,利用RDTSC时间差判断是否在虚拟机里面  阅读全文 2021-01-24 huoji 0 条评论
二进制安全游戏安全汇编Shellcode [2021]EAC极其冷门的检测hypervisor的方法 EAC极其冷门的检测hypervisor的方法 ### 微软官方介绍 阅读全文 2021-01-22 huoji 0 条评论
工具软件渗透案例二进制安全游戏安全C/C++汇编Shellcode [2021]windows 19H1中一种冷门的反调试方法 windows 19H1中PsSuspendProcess新加了一点代码: ```cpp NTSTATUS PsSuspendProcess(_EPROCESS* Process) { const auto currentThread = KeGetCurrentThread(); KeEnterCriticalRegionThread(currentThread); NTSTATUS status = STATUS_SUCCESS; if ( ExAcquireRundownProtection(&Process->RundownProtect) ) { auto targetThread = PsGetNextProcessThread(Process, nullptr); while ( targetThread ) { // Our flag in action if ( !targetThread->Tcb.MiscFlags.BypassProcessFreeze ) PsSuspendThread(targetThread, nullptr); targetThread = PsGetNextProcessThread(Process, targetThread); } ExReleaseRundownProtection(&Process->RundownProtect); } else status = STATUS_PROCESS_IS_TERMINATING; if ( Process->Flags3.EnableThreadSuspendResumeLogging ) EtwTiLogSuspendResumeProcess(status, Process, Process, 0); KeLeaveCriticalRegionThread(currentThread); return status; } ``` ```cpp if ( !targetThread->Tcb.MiscFlags.BypassProcessFreeze ) ``` 总所周知 调试器都要用这个函数挂起线程、进程 因此如果我们给线程设置一个参数(THREAD_CREATE_FLAGS_BYPASS_PROCESS_FREEZE为0x40): ```cpp NtCreateThreadEx(&handle, MAXIMUM_ALLOWED, nullptr, NtCurrentProcess(), &printer, nullptr, THREAD_CREATE_FLAGS_BYPASS_PROCESS_FREEZE, 0, 0, 0, nullptr); ``` 那么这个线程将无法暂停! 那么 如何利用为反调试呢? 继续看PsSuspendProcess->KeSuspendThread: ```cpp ULONG KeSuspendThread(_ETHREAD *Thread) { auto irql = KeRaiseIrql(DISPATCH_LEVEL); KiAcquireKobjectLockSafe(&Thread->Tcb.SuspendEvent); auto oldSuspendCount = Thread->Tcb.SuspendCount; if ( oldSuspendCount == MAXIMUM_SUSPEND_COUNT ) // 127 { _InterlockedAnd(&Thread->Tcb.SuspendEvent.Header.Lock, 0xFFFFFF7F); KeLowerIrql(irql); ExRaiseStatus(STATUS_SUSPEND_COUNT_EXCEEDED); } auto prcb = KeGetCurrentPrcb(); if ( KiSuspendThread(Thread, prcb) ) ++Thread->Tcb.SuspendCount; _InterlockedAnd(&Thread->Tcb.SuspendEvent.Header.Lock, 0xFFFFFF7F); KiExitDispatcher(prcb, 0, 1, 0, irql); return oldSuspendCount; } ``` 可以看到 Thread->Tcb.SuspendCount 在成功暂停线程的时候会增加! 也就是说我们可以利用那个新的flag阻止线程暂停 这样子这个count就不会增加 当调试器调用NtResumeProcess的时候 计数就会减少! 利用这一点我们就可以知道自己是否被调试: ```cpp for(size_t i = 0; i < 128; ++i) NtSuspendThread(thread, nullptr); while(true) { if(NtSuspendThread(thread, nullptr) != STATUS_SUSPEND_COUNT_EXCEEDED) std::puts("I was suspended\n"); Sleep(1000); } ``` 阅读全文 2021-01-10 huoji 0 条评论
游戏安全C/C++汇编Shellcode [2021]检测PG是否被关闭的方法(EAC、BE、Vanguard) 这个方法只适用于检测静态patch 当pg context不存在的时候,你只需抛出异常 ```cpp PUBLIC InvokePatchGuardRoutine InvokePatchGuardRoutine PROC int 20h ret InvokePatchGuardRoutine ENDP ```  这个test就会抛出异常,是不是很神奇? 绕过 ```cpp PVOID PgContext_t = ExAllocatePoolWithTag(NonPagedPool, 0x23000, 'CcBc'); *reinterpret_cast<PDWORD>(reinterpret_cast<PBYTE>(PgContext_t) + 0x994) |= 0x100000; *PgContext = PgContext_t; ``` 阅读全文 2021-01-09 huoji 0 条评论
