网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !
7*24小时服务专线: 152-150-65-006 023-68263070 
SysWhispers:功能强大的AV/EDR绕过工具,生成Header和ASM文件,并通过发送直接系统调用来绕过反病毒以及终端防护响应工具
摘要:SysWhispers可以生成Header和ASM文件,并发送直接的系统调用以绕过反病毒和终端防护响应工具,支持从Windows XP到Windows 10的所有系统核心调用。
SysWhispers可以生成Header和ASM文件,并发送直接的系统调用以绕过反病毒和终端防护响应工具,支持从Windows XP到Windows 10的所有系统核心调用。生成的样本文件可以直接从“ example-output /”目录获取。
工具介绍
许多安全产品在用户模式API中设置了钩子,可以帮助他们将目标程序的执行流重定向到其引擎并检测可疑行为。 Ntdll.dll中的功能可以通过少量汇编指令发送系统调用,因此在植入程序中重新实现此操作可以帮助我们绕过这些安全产品设置的挂钩。
SysWhispers可以帮助Red Team研究人员为内核映像(ntoskrnl.exe)发送的任何系统调用生成相应的Header/ASM键值对。 支持的操作系统平台包括Windows XP到Windows 10,并且这些Header还包含必要的类型定义。 接下来,让我们看看如何安装和使用此功能强大的AV / EDR绕过工具!
工具安装
> git clone https://github.com/jthuraisamy/SysWhispers.git
> cd SysWhispers
> pip3 install -r .\requirements.txt
> py .\syswhispers.py --help
命令行
导出所有Windows版本支持的所有功能:
py .\syswhispers.py --preset all -o syscalls_all
仅导出Windows 7、8和10支持的常见功能:
py .\syswhispers.py --preset common -o syscalls_common
导出NtProtectVirtualMemory和NtWriteVirtualMemory函数:
py .\syswhispers.py --functions NtProtectVirtualMemory,NtWriteVirtualMemory -o syscalls_mem
导出所有受支持的功能以及Windows 7、8和10的功能:
py .\syswhispers.py --versions 7,8,10 -o syscalls_78X
脚本输出
PS C:\Projects\SysWhispers> py .\syswhispers.py --preset common --out-file syscom
, , ,_ /_ . , ,_ _ ,_ ,
_/_)__(_/__/_)__/_/_/ / (__/__/_)__/_)__(/__/ (__/_)__
_/_ /
(/ / @Jackson_T, 2019
SysWhispers: Why call the kernel when you can whisper?
Common functions selected.
Complete! Files written to:
syscom.asm
syscom.h
经典的CreateRemoteThread DLL注入示例
py .\syswhispers.py -f NtAllocateVirtualMemory,NtWriteVirtualMemory,NtCreateThreadEx -o syscalls
#include <Windows.h>
void InjectDll(const HANDLE hProcess, const char* dllPath)
{
LPVOID lpBaseAddress = VirtualAllocEx(hProcess, NULL, strlen(dllPath), MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
LPVOID lpStartAddress = GetProcAddress(GetModuleHandle(L"kernel32.dll"), "LoadLibraryA");
WriteProcessMemory(hProcess, lpBaseAddress, dllPath, strlen(dllPath), nullptr);
CreateRemoteThread(hProcess, nullptr, 0, (LPTHREAD_START_ROUTINE)lpStartAddress, lpBaseAddress, 0, nullptr);
}
常用功能
将以下函数和方法与“ –preset common”参数一起使用,以创建Header / ASM键值对:
NtCreateProcess (CreateProcess)
NtCreateThreadEx (CreateRemoteThread)
NtOpenProcess (OpenProcess)
NtOpenThread (OpenThread)
NtSuspendProcess
NtSuspendThread (SuspendThread)
NtResumeProcess
NtResumeThread (ResumeThread)
NtGetContextThread (GetThreadContext)
NtSetContextThread (SetThreadContext)
NtClose (CloseHandle)
NtReadVirtualMemory (ReadProcessMemory)
NtWriteVirtualMemory (WriteProcessMemory)
NtAllocateVirtualMemory (VirtualAllocEx)
NtProtectVirtualMemory (VirtualProtectEx)
NtFreeVirtualMemory (VirtualFreeEx)
NtQuerySystemInformation (GetSystemInfo)
NtQueryDirectoryFile
NtQueryInformationFile
NtQueryInformationProcess
NtQueryInformationThread
NtCreateSection (CreateFileMapping)
NtOpenSection
NtMapViewOfSection
NtUnmapViewOfSection
NtAdjustPrivilegesToken (AdjustTokenPrivileges)
NtDeviceIoControlFile (DeviceIoControl)
NtQueueApcThread (QueueUserAPC)
NtWaitForMultipleObjects (WaitForMultipleObjectsEx)
导入到Visual Studio
1.将生成的Header / ASM文件复制到项目目录;
2.在Visual Studio中,单击Project→Build Customizations…,然后启用MASM;
3.在Solution Explorer中,将.h和.asm文件添加到项目中,并将它们作为相应的头文件和源文件进行引用;
4.进入ASM文件的属性页,然后将“Item”类型设置为“Microsoft Macro Assembler”。
5.确保项目平台设置为x64。 当前,该项目不支持32位平台。
工具限制
1.目前仅支持64位Windows操作系统;
2.当前不支持从图形子系统(win32k.sys)进行的系统调用。
3.该工具仅在Windows 10 SDK的Visual Studio 2019(v142)中经过测试;
相关热词搜索:SysWhispers AVEDR绕过工具 Header文件 ASM文件 绕过反病毒 终端防护响应工具 重庆网络安全
上一篇:openvas:开源扫描器,性能卓越,扩展性强,接入方式灵活,配置主从服务器时存在BUG
下一篇:ReconCobra:全自动渗透测试框架,指纹识别与收集框架,支持在Kali、Parrot OS、Black Arch、Termux和Android Led TV平台上运行
热门资讯
Copyright 2003-2019 www.023niu.com All Rights Reserved. 本站程序界面、源代码受相关法律保护,未经授权,严禁使用 |重庆牛创网络科技有限公司 | 网站地图
渝ICP备19004889号-1 渝公网安备 50010902000896号
人机验证(Captcha)绕过方法:使用Chrome开发者工具在目标网站登录页面上执行简单的元素编辑,以实现Captcha绕过
牛创网络: " 人机身份验证(Captcha)通常显示在网站的注册,登录名和密码重置页面上。 以下是目标网站在登录页面中排列的验证码机制。 从上图可以
2020-01-26 12:44:09 )8872( 亮了
自动发现IDOR(越权)漏洞的方法:使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞,而无需手动更改每个请求的参数
牛创网络: "自动发现IDOR(越权)漏洞的方法:使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞,而无需手动更改每个请求的参数
2020-01-30 14:04:47 )6288( 亮了
Grafana CVE-2020-13379漏洞分析:重定向和URL参数注入漏洞的综合利用可以在任何Grafana产品实例中实现未经授权的服务器端请求伪造攻击SSRF
牛创网络: "在Grafana产品实例中,综合利用重定向和URL参数注入漏洞可以实现未经授权的服务器端请求伪造攻击(SSRF)。该漏洞影响Grafana 3 0 1至7 0 1版本。
2020-08-12 14:26:44 )4301( 亮了
Nginx反向代理配置及反向代理泛目录,目录,全站方法
牛创网络: "使用nginx代理dan(sui)是http响应消息写入服务地址或Web绝对路径的情况。 写一个死的服务地址是很少见的,但它偶尔也会发生。 最棘手的是写入web绝对路径,特别是如果绝对路径没有公共前缀
2019-06-17 10:08:58 )3858( 亮了
fortify sca自定义代码安全扫描工具扫描规则(源代码编写、规则定义和扫描结果展示)
牛创网络: "一般安全问题(例如代码注入漏洞),当前fortify sca规则具有很多误报,可通过规则优化来减少误报。自带的扫描规则不能检测到这些问题。 需要自定义扫描规则,合规性角度展示安全风险。
2020-02-12 10:49:07 )3505( 亮了
整理几款2020年流行的漏洞扫描工具
牛创网络: "漏洞扫描器就是确保可以及时准确地检测信息平台基础架构的安全性,确保业务的平稳发展,业务的高效快速发展以及公司,企业和国家 地区的所有信息资产的维护安全。
2020-08-05 14:36:26 )2536( 亮了
微擎安装使用技巧-微擎安装的时候页面显示空白是怎么回事?
牛创网络: "我们在公众号开发中,有时候会用到微擎,那我们来看一下微擎安装的时候页面显示空白是怎么回事吧
2019-06-08 15:34:16 )2261( 亮了
渗透测试:利用前端断点拦截和JS脚本替换对前端加密数据的修改
牛创网络: " 本文介绍的两种方法,虽然断点调试比JS脚本代码替换更容易,但是JS脚本代码替换方法可以实现更强大的功能,测试人员可以根据实际需要选择适当的测试方法
2020-01-07 09:34:42 )1995( 亮了
从工业界到学界盘点SAS与R优缺点比较
牛创网络: "虽然它在业界仍然由SAS主导,但R在学术界广泛使用,因为它的免费开源属性允许用户编写和共享他们自己的应用程序 然而,由于缺乏SAS经验,许多获得数据分析学位的学生很难找到工作。
2019-07-13 22:25:29 )1842( 亮了
41款APP侵犯用户隐私权:QQ,小米,搜狐,新浪,人人均被通报
牛创网络: "随着互联网的不断发展,我们进入了一个时代,每个人都离不开手机。 但是,APP越来越侵犯了用户隐私权。12月19日,工业和信息化部发布了《关于侵犯用户权益的APP(第一批)》的通知。
2019-12-20 11:28:14 )1775( 亮了