一个逃避技术的PoC实现——DeathSleep

介绍

一个逃避技术的PoC实现，在恢复执行前终止当前线程并将其恢复，同时在无执行期间实施页面保护变化。

原理

睡眠和混淆方法在maldev社区是众所周知的，有不同的实现方式，它们的目的是在睡眠时躲避内存扫描器，通常改变页面保护，甚至增加很酷的功能，如加密shellcode，但还有一个重要的点来隐藏我们的shellcode，是隐藏当前的执行线程。欺骗堆栈是很酷的，但在稍加思考后，我认为没有必要欺骗堆栈...如果没有堆栈的话 :)

这个技术的可用性由读者来评估，但无论如何，我认为这是一个很酷的方式来回顾一些主题，并为那些像我一样开始在这个世界上学习一些maldev。

这里展示的主要实现是将我们需要从堆栈中取出的所有东西放在数据部分，作为全局变量，但将所有东西移到堆中的实现很快就会发布。它的目的是展示一些关键性的修改，以使这段代码可以被选中和注入。

这个仓库在GitHub和GitLab之间做了镜像。

标签：工具分享