0xjbb/ModuleStomped

## ModuleStomped 这是一个非常简陋的 PoC，旨在通过检查每个模块的 pdata 节来检测 module stomped DLL。这比检查 .text 节更可靠，因为 pdata 永远不应改变。 在我的开发机器上的所有进程中，它只挑出了内存中执行 module stomping 的 C2。 一个明显的绕过方法是找到一个足够大的 text 节来容纳你的整个 DLL，并手动添加该 DLL 的 pdata 节。 然而，这也可以通过将栈帧与 pdata 相关联来检测，但我决定不实现这一点。 ### 模式 #### ETW 该工具具有 ETW 模式，它会等待 imageload 事件，如果该镜像位于预设的 DLL 列表中，则将扫描该进程。 这纯粹是一个示例，更好的检测点应该是 ETW-Ti VirtualProtect，但是我不想编写驱动程序。 #### 进程扫描器 在没有任何参数的情况下执行应用程序将调用进程扫描器路径，这将扫描所有可访问的（通过 OpenProcess）进程，枚举该进程内的所有模块，并检查每个模块的 pdata。 这确实需要几秒钟，而且相当慢。 ### 用法。 - 以管理员身份运行 进程扫描器 `.\ModuleStomped` ETW `.\ModuleStomped etw`

标签：EDR, UML, 内存检测, 端点可见性, 脆弱性评估