我学习不同恶意软件技术的历险,如系统调用、代码注入、解钩或沙盒逃逸。
作者:Sec-Labs | 发布时间:
项目地址
https://github.com/eversinc33/MalwareAdventurez
恶意软件冒险
我写恶意软件并将其归档以备将来参考。
| 名称 | 描述 | 语言 |
|---|---|---|
| 键盘记录器 | 基本的键盘记录器 | C++ |
| 剪贴板窃取器 | 基本的剪贴板窃取器 | C++ |
| Nimject | 我愚蠢的第一个系统调用打包器 | Nim |
| 动态解析Shellcode运行器 | 解析函数动态运行的Shellcode运行器,导致PE具有空IAT | C++ |
| 进程空洞XOR | 使用XOR加密有效负载的ProcessHollowing注入器 | C# |
| 进程空洞AES | 使用AES加密有效负载的ProcessHollowing注入器 | C++ |
| ProcHollowDinvoke | 使用DInvoke的ProcessHollowing注入器 | C# |
| InvokeAsAdmin | 在调用Shellcode之前,请求管理员权限 | C# |
| APC-Q_解钩 | 用新的ntdll覆盖已挂钩的ntdll以避免EDR挂钩,并通过APC-排队调用Shellcode。 | C++ |
| 并行系统调用技术 | 从LdrpThunkSignature中读取选定系统调用的ntdll的系统调用号,并使用这些系统调用从磁盘读取新的未挂钩的ntdll。 |
C++ |
| PPID欺骗 | 使用NtCreateUserProcess欺骗父进程ID | C++ |
| 反射式PE注入 | 反射式PE注入 | C++ |
| Shellcode字符串编码器 | 使用二进制文件中的字符串对Shellcode进行编码以减少熵 | C++ |
| AmsiPatch | 启动PowerShell并修补AmsiScanBuffer | C++ |
| ThreadContextInject | 使用SetThreadContext注入Shellcode | C++ |
| MapViewInjection | 使用映射的部分视图在远程进程中注入代码 | C++ |
| 硬件断点远程进程AMSI绕过 | 远程进程的硬件断点AMSI绕过。无法使用 | C++ |
| 反射式DLL注入 | 重新实现反射式DLL注入(WIP) | C++ |
标签:工具分享, 免杀工具, 免杀技巧, 主机安全