通过将资源拼凑在一起创建一个实现常见 EDR/AV 规避技术的 shellcode 加载器。
-
loader.nim用您自己的 x64 shellcode替换字节数组 -
编译 EXE 并运行它:
nim c -d:danger -d:strip --opt:size "loader.nim" -
可能通过查看您正在使用的注入文件夹方法的 .nim 文件来调整您要注入的进程…
-
从 NTDLL 动态解析的直接系统调用
-
AMSI 和 ETW 补丁
-
NTDLL 脱钩
-
CreateRemoteThread 注入
-
过程空心技术
-
使用 [CTR 模式下的 AES] 的 Shellcode 加密/解密(https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Counter_(CTR)
-
用系统调用替换所有兼容的 API 调用
-
添加模板生成器和编译器、shellcode 的命令行参数、注入方法、进程路径等
https://github.com/adamsvoboda/nim-loader
原文始发于微信公众号(Khan安全攻防实验室):Nim 中使用 EDR 规避技术的 WIP shellcode 加载器
