我将列出一些UDRL的列表,因此本文的连接为# * 使用了相当多规避技术的UDRLBokuLoader * Havoc上用的反射DLLKaynLdr不知道他的Inject程序能不能过杀软 * Havoc上用的反射DLL,CS上的实现 KaynStrike * 猎鹰一直在用的加载DLL(可能不算是UDRL吧,我也不太清楚)DarkLoadLibrary但这个项目打算这周看一看 * 可能眼前一亮的是上篇文章中提到的,返回地址欺骗,在这个UDRL中实现了AceLdr * TitanLdr
本文章列出了非常多的终端对抗的点,尽管他只是起一个"概述"的作用,但我们可以根据他提供的这些细节点,来为我们的Loader提供更加强大的免杀能力。我这里读到了比较有意思的一个是,规避AES加密产生的导入表问题。这个在我二开的FilessRunPE中产生了这个问题,导入表中的ADVAPI32.dll存在了他列出来的这些API。我需要通过函数指针或是直接/间接系统调用来实现规避,很遗憾,这些东西我仍然需要学习。
学习一下利用java.exe起一个进程,然后实现shellcodeLoader
获取一个干净的堆栈,以此来绕过EDR的栈回溯。 阅读这篇文章,收获了很多,包括 * 对堆栈的相关学习 * 对回调函数的学习 * 对汇编的学习: * 学习掌握了各种寄存器是干什么的 * 对汇编代码的理解 这篇文章还有第二篇,但是光阅读第一篇文章我就花费了4个小时的时间,去尝试弄懂这些东西,收获其实是很多的。