探索PELoader：高级的壳代码注入和加密PE加载工具

项目介绍

PELoader是一个创新的开源项目，它实现了多种壳代码注入技术，并利用hasherezade的libpeconv库来加载加密的PE文件，而不是将shellcode注入远程线程。这个项目的目的是提供更加隐蔽和安全的进程注入方式，以应对现代防御系统。

项目技术分析

PELoader包含以下几种先进的注入技术：

1. 模块替换（LoadLibrary）
2. 模块替换（NtMapViewOfSection）
3. 事务空洞化（Transacted Hollowing）
4. 幽灵空洞化（Ghostly Hollowing）
5. NtMapViewOfSection（RWX-RW-RX）
6. NtAllocateVirtualMemory（RW-RX）

每种技术都有其独特的优点和适应场景，例如，通过NtMapViewOfSection加载的payload会被映射为MEM_IMAGE，看起来像合法的EXE或DLL，且不会连接到模块列表，增加了隐蔽性。而Ghostly Hollowing则避免了"System Idle Process"的Image Path IOC，提高了逃避检测的能力。

应用场景和技术优势

这些技术广泛适用于渗透测试、逆向工程、软件调试以及安全研究等领域。它们可以用于在目标进程中隐蔽执行代码，绕过一些传统的防病毒软件和端点保护解决方案。在测试中，PELoader已经在Windows 10上成功地对抗了Cortex XDR、SentinelOne、Windows Defender和CrowdStrike等防御产品。

项目特点

1. 安全性：通过各种复杂的内存注入技术，PELoader能够降低被安全防护软件检测到的风险。
2. 灵活性：支持加载加密PE文件，提供AES加密功能，增强了代码的安全性。
3. 易用性：简单的命令行接口，通过设置环境变量即可执行操作。
4. 兼容性：已在Windows 10环境下进行充分的测试，并与多个流行的安全产品进行了交互。

使用示例

要使用PELoader，你可以先使用pe_to_shellcode将PE文件转换成加密的shellcode，然后设置“hagrid”环境变量来执行PELoader。例如，对一个加密的shellcode执行经典DLL空洞化：

cmd> set hagrid=cdll mimikatz.shc.exe.enc
cmd> .\PELoader.exe  version

在执行上述命令后，你可以在目标进程中看到mimikatz的输出，证明payload已成功执行。

进一步学习与改进

PELoader的设计者和贡献者已经分享了一些深入的技术文章，包括关于内存扫描对抗策略的文章，以及如何将其应用到远程进程注入中的讨论。这些都是进一步学习和提升技能的好资源。

总的来说，PELoader是一个强大且灵活的工具，对于任何关注进程注入和反取证技术的人来说，都是一个不可多得的学习和实践平台。如果你是开发者、安全研究人员或者喜欢探索操作系统底层机制的人，那么PELoader绝对值得你一试。