防御逃逸 | 免杀Payload加载器 APCLdr
作者:Sec-Labs | 发布时间:
项目地址
https://github.com/NUL0x4C/APCLdr
APCLdr:具有规避功能的有效载荷加载器
特征
- 没有导入 crt 函数
- 使用HellHall 的间接系统调用
- api哈希使用CRC32哈希算法
- 使用 rc4 的有效载荷加密 - 有效载荷保存在 .rsrc 中
- 使用 APC 调用的有效负载注入 - 可警告线程
- 使用 APC 执行负载 - 可警告线程
- 使用MsgWaitForMultipleObjects的执行延迟- 编辑这个
- 总大小为 8kb + 有效负载大小
- 与LLVM (clang-cl)选项兼容
用法
- 使用Builder更新PayloadFile.pf文件,这将是要保存在加载程序的 .rsrc 部分中的加密负载
- 编译为 x64 版本
调试
- 将链接器>子系统从/SUBSYSTEM:WINDOWS更改为/SUBSYSTEM:CONSOLE
- 将加载程序设置为调试模式(取消注释)
- 也作为发布构建
感谢
- https://www.x86matthew.com/view_post?id=writeprocessmemory_apc
- https://github.com/vxunderground/VX-API
在 windows 10 上用 cobalt strike && Havoc 测试
标签:工具分享, 免杀工具