OPSEC点,将syswh3生成的那些Nt函数变成随机函数名,可以起到OPSEC的作用,可以集成在Packer当中。
来自Alaris的代码,其中亮点在于,会把我们shellcode覆盖,可以使用自实现的memcpy应该也能起到覆盖这块内存的效果... Sleep(9999);//暂停9.9秒 uint8_t overwrite[500]; NtWriteVirtualMemory(hProcess, mem, overwrite, sizeof(overwrite), 0);
trufflehog 是一个开源免费的敏感信息检测工具,支持对以下几种类型的目标进行敏感信息检测:
git
gitlab
github
s3
gcs
syslog
circleci
filesystem
主要看重的是最后一个:filesystem,作者原话:
我主要用到的是filelsystem扫描,集成在marshal中,配合httpx的js提取功能,扫描js中的敏感信息
AWD脚本,看描述很牛逼
FlagBuster: 当检测到输出流量中包含了符合正则的flag字符串,产生大屏告警、标记触发规则的数据包、并将flag精准替换为看起来也像flag的随机数。
KingWatcher: KoH类比赛中,当有其他队伍替换掉了赛点文件时,产生大屏告警。
ZombieKiller: 当文件系统上出现了不死马行为,标记可疑文件并产生大屏告警