一个新的注入技术的POC,滥用windows fork API来逃避EDR检测
作者:Sec-Labs | 发布时间:
项目地址
https://github.com/deepinstinct/Dirty-Vanity
Dirty-Vanity
新注入技术的 POC,滥用 Windows fork API 来逃避 EDR检测。
用法
DirtyVanity.exe [TARGET_PID_TO_REFLECT]运行时步骤
- 分配并写入 shellcode 到 [TARGET_PID_TO_REFLECT]
- 将 [TARGET_PID_TO_REFLECT] 分叉到一个新进程
- 将分叉进程的起始地址设置为克隆的 shellcode
Shellcode
反射的 shellcode 与 ntdll API 一起工作。它是从包含的生成项目生成的shellcode_template,由https://github.com/rainerzufalldererste/windows_x64_shellcode_template提供
Shellcode定制
轻松自定义 shellcode:
- 根据https://github.com/rainerzufalldererste/windows_x64_shellcode_template中的说明,在项目内部编辑
shellcode_template函数shellcode_template - 编译它
shellcode_template使用您最喜欢的 PE 解析工具(例如 IDA)裁剪函数字节- 这些字节是位置独立的 shellcode。把它们放在
DirtyVanity.cpp - 执行 DirtyVanity 以观察它们被反射
标签:工具分享, 主机安全