首页
/ 探索PELoader:高级的壳代码注入和加密PE加载工具

探索PELoader:高级的壳代码注入和加密PE加载工具

2024-05-20 16:16:55作者:裴锟轩Denise

项目介绍

PELoader是一个创新的开源项目,它实现了多种壳代码注入技术,并利用hasherezade的libpeconv库来加载加密的PE文件,而不是将shellcode注入远程线程。这个项目的目的是提供更加隐蔽和安全的进程注入方式,以应对现代防御系统。

项目技术分析

PELoader包含以下几种先进的注入技术:

  1. 模块替换(LoadLibrary)
  2. 模块替换(NtMapViewOfSection)
  3. 事务空洞化(Transacted Hollowing)
  4. 幽灵空洞化(Ghostly Hollowing)
  5. NtMapViewOfSection(RWX-RW-RX)
  6. NtAllocateVirtualMemory(RW-RX)

每种技术都有其独特的优点和适应场景,例如,通过NtMapViewOfSection加载的payload会被映射为MEM_IMAGE,看起来像合法的EXE或DLL,且不会连接到模块列表,增加了隐蔽性。而Ghostly Hollowing则避免了"System Idle Process"的Image Path IOC,提高了逃避检测的能力。

应用场景和技术优势

这些技术广泛适用于渗透测试、逆向工程、软件调试以及安全研究等领域。它们可以用于在目标进程中隐蔽执行代码,绕过一些传统的防病毒软件和端点保护解决方案。在测试中,PELoader已经在Windows 10上成功地对抗了Cortex XDR、SentinelOne、Windows Defender和CrowdStrike等防御产品。

项目特点

  1. 安全性:通过各种复杂的内存注入技术,PELoader能够降低被安全防护软件检测到的风险。
  2. 灵活性:支持加载加密PE文件,提供AES加密功能,增强了代码的安全性。
  3. 易用性:简单的命令行接口,通过设置环境变量即可执行操作。
  4. 兼容性:已在Windows 10环境下进行充分的测试,并与多个流行的安全产品进行了交互。

使用示例

要使用PELoader,你可以先使用pe_to_shellcode将PE文件转换成加密的shellcode,然后设置“hagrid”环境变量来执行PELoader。例如,对一个加密的shellcode执行经典DLL空洞化:

cmd> set hagrid=cdll mimikatz.shc.exe.enc
cmd> .\PELoader.exe  version

在执行上述命令后,你可以在目标进程中看到mimikatz的输出,证明payload已成功执行。

进一步学习与改进

PELoader的设计者和贡献者已经分享了一些深入的技术文章,包括关于内存扫描对抗策略的文章,以及如何将其应用到远程进程注入中的讨论。这些都是进一步学习和提升技能的好资源。

总的来说,PELoader是一个强大且灵活的工具,对于任何关注进程注入和反取证技术的人来说,都是一个不可多得的学习和实践平台。如果你是开发者、安全研究人员或者喜欢探索操作系统底层机制的人,那么PELoader绝对值得你一试。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
178
262
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
866
513
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
129
183
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
261
302
kernelkernel
deepin linux kernel
C
22
5
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
598
57
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
398
371
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
332
1.08 K