1
This commit is contained in:
Huoji's
@@ -1,10 +1,12 @@
|
||||
# DuckMemoryScan
|
||||
一个简单寻找无文件落地后门的工具,由huoji花了1天编写,编写时间2021-02-24
|
||||
一个简单寻找包括不限于iis劫持,无文件木马,shellcode免杀后门的工具,由huoji花了1天编写,编写时间2021-02-24
|
||||
!!!本程序需要64位编译才能回溯x64的程序堆栈,请勿执行32位编译!!!
|
||||
!!!本工具不能代替杀毒软件!!!
|
||||
|
||||
# 运行截图
|
||||
|
||||
|
||||
|
||||
# 功能列表
|
||||
1. HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩
|
||||
2. 内存免杀shellcode检测(metasploit,Cobaltstrike完全检测)
|
||||
@@ -12,6 +14,7 @@
|
||||
4. 无文件落地木马检测(检测所有已知内存加载木马)
|
||||
5. 简易rootkit检测(检测证书过期/拦截读取/证书无效的驱动)
|
||||
6. 检测异常模块,检测绝大部分如"iis劫持"的后门(2021年2月26日新增)
|
||||
|
||||
# 免杀木马检测原理:
|
||||
所有所谓的内存免杀后门大部分基于"VirtualAlloc"函数申请内存 之后通过各种莫名其妙的xor甚至是aes加密去混淆shellcode达到"免杀"效果.
|
||||
本工具通过线程堆栈回溯方法(StackWalkEx函数)遍历线程,寻找系统中在VirtualAlloc区域执行代码的区域,从而揪出"免杀木马"
|
||||
@@ -37,4 +40,6 @@
|
||||
目前工具只回溯rip与eip,你可以回溯RSP或者EBP 只需修改StackFarmeEx.AddrPC.Offset即可
|
||||
|
||||
# 追踪这个项目
|
||||
白帽wiki是一个公益性质的知识库为所有人在知识付费时代提供一个简单的免费的存储知识的网站.对标vxjump.net,我会无偿的将我的所学到的知识分享在此wiki中,目前涉及到机器学习领域,虚拟化安全领域,传统安全领域,游戏安全领域,EFI硬件安全领域.希望后人能少一点坑.
|
||||
你可以在此网站中发现一个沉沦很久的讨论群,选择加入,然后一起扯淡聊天.
|
||||
https://key08.com
|
||||
Reference in New Issue
Block a user