首页
/ 探索PELoader:高级的壳代码注入和加密PE加载工具

探索PELoader:高级的壳代码注入和加密PE加载工具

2024-05-20 16:16:55作者:裴锟轩Denise

项目介绍

PELoader是一个创新的开源项目,它实现了多种壳代码注入技术,并利用hasherezade的libpeconv库来加载加密的PE文件,而不是将shellcode注入远程线程。这个项目的目的是提供更加隐蔽和安全的进程注入方式,以应对现代防御系统。

项目技术分析

PELoader包含以下几种先进的注入技术:

  1. 模块替换(LoadLibrary)
  2. 模块替换(NtMapViewOfSection)
  3. 事务空洞化(Transacted Hollowing)
  4. 幽灵空洞化(Ghostly Hollowing)
  5. NtMapViewOfSection(RWX-RW-RX)
  6. NtAllocateVirtualMemory(RW-RX)

每种技术都有其独特的优点和适应场景,例如,通过NtMapViewOfSection加载的payload会被映射为MEM_IMAGE,看起来像合法的EXE或DLL,且不会连接到模块列表,增加了隐蔽性。而Ghostly Hollowing则避免了"System Idle Process"的Image Path IOC,提高了逃避检测的能力。

应用场景和技术优势

这些技术广泛适用于渗透测试、逆向工程、软件调试以及安全研究等领域。它们可以用于在目标进程中隐蔽执行代码,绕过一些传统的防病毒软件和端点保护解决方案。在测试中,PELoader已经在Windows 10上成功地对抗了Cortex XDR、SentinelOne、Windows Defender和CrowdStrike等防御产品。

项目特点

  1. 安全性:通过各种复杂的内存注入技术,PELoader能够降低被安全防护软件检测到的风险。
  2. 灵活性:支持加载加密PE文件,提供AES加密功能,增强了代码的安全性。
  3. 易用性:简单的命令行接口,通过设置环境变量即可执行操作。
  4. 兼容性:已在Windows 10环境下进行充分的测试,并与多个流行的安全产品进行了交互。

使用示例

要使用PELoader,你可以先使用pe_to_shellcode将PE文件转换成加密的shellcode,然后设置“hagrid”环境变量来执行PELoader。例如,对一个加密的shellcode执行经典DLL空洞化:

cmd> set hagrid=cdll mimikatz.shc.exe.enc
cmd> .\PELoader.exe  version

在执行上述命令后,你可以在目标进程中看到mimikatz的输出,证明payload已成功执行。

进一步学习与改进

PELoader的设计者和贡献者已经分享了一些深入的技术文章,包括关于内存扫描对抗策略的文章,以及如何将其应用到远程进程注入中的讨论。这些都是进一步学习和提升技能的好资源。

总的来说,PELoader是一个强大且灵活的工具,对于任何关注进程注入和反取证技术的人来说,都是一个不可多得的学习和实践平台。如果你是开发者、安全研究人员或者喜欢探索操作系统底层机制的人,那么PELoader绝对值得你一试。

登录后查看全文
热门项目推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
156
2 K
kernelkernel
deepin linux kernel
C
22
6
pytorchpytorch
Ascend Extension for PyTorch
Python
38
72
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
519
50
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
943
556
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
196
279
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
993
396
communitycommunity
本项目是CANN开源社区的核心管理仓库,包含社区的治理章程、治理组织、通用操作指引及流程规范等基础信息
361
12
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
146
191
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Python
75
71