无文件落地的木马主要是一段可以自定位的Shellcode组成,特点是没有文件,可以附加到任何进程里面执行。一旦特征码被捕获甚至是只需要xor一次就能改变特征码,由于传统安全软件是基于文件检测的,对目前越来越多的无文件落地木马检查效果差。
基于内存行为特征的检测方式,可以通过检测执行代码是否在正常文件镜像区段内去识别是否是无文件木马.由于cobaltstrike等无文件木马区段所在的是private内存,所以在执行loadimage回调的时候可以通过堆栈回溯快速确认是否是无文件木马。
检测只需要40行代码:
堆栈回溯:
使用:
编译好驱动,加载驱动,之后运行测试看看:
普通生成(x32与x64)测试:
基于VirtualAlloc的C代码测试:
测试结果:
基于powershell的测试:
基于Python的测试:
测试结果:
弊端:
目前已知的ngentask.exe、sdiagnhost.exe服务会触发这个检测规则(看样子是为了执行一些更新服务从微软服务端下载了一些shellcode之类的去运行).如果后续优化则需要做一个数字签名校验等给这些特殊的进程进行加白操作.这是工程问题,不是这个demo的问题
一如既往的 github:
我的电脑不知道怎么了,CPU一运行游戏就占用100%,游戏都显示CPU80多的,请高手指教下
一者是你的机箱里灰尘过多导致散热不好,二者是病毒原因。你杀毒试试~
求100以内的素数,素数是指一个数x除了1和它本身,不能被其他任何整数整除。要求每行输出10个素数。
Private Sub Command1_Click()Dim i,j As Longfor i=1 to 100If prime(i) Then Printi;j=j+1if j mod 10=0 then printend ifnextEnd SubPrivate Function prime(ByVal n As Long) As Boolean返回值=True是素数,False不是素数Dim k As LongIf n < 2 Thenprime = FalseElseprime = TrueFor k = 2 To n - 1If (n Mod k) = 0 Then prime = False: Exit ForNext kEnd IfEnd Function
谁会用vba查询一个log文件,然后将结果显示在excel上
我的excel是2003的,如果你的不是,可能filedialog不能用,那你就改一下别的方法来实现 它Dim a As StringWith (msoFileDialogOpen) = = (1)End WithIf = 0 Connection:=TEXT; & a, Destination:=Range(A1)(1) = TEXT; & aEnd IfWith (1) = = = = = = = = = = = = = = = = = = = = = = Array(1) = BackgroundQuery:= = Range(A1)End With
发表评论