文件名称:CobaltStrikeDetected:40行代码检测到大部分CobaltStrike的shellcode
文件大小:1.86MB
文件格式:ZIP
更新时间:2024-08-24 05:17:25
C++
介绍 无文件落地的木马主要是一段可以自定位的shellcode组成,特点是没有文件,可以附加到任何进程里面执行。一旦特征码被捕获甚至是只需要xor一次就能改变特征码.由于传统安全软件是基于文件检测的,对目前越来越多的无文件落地木马检查效果差. 基于内存行为特征的检测方式,可以通过检测执行代码是否在正常文件镜像区段内去识别是否是无文件木马.由于cobaltstrike等无文件木马区段所在的是private内存,所以在执行loadimage回调的时候可以通过堆栈回溯快速确认是否是无文件木马 检测只需要40行代码: 在loadimagecallback上做堆栈回溯 发现是private区域的内存并且是excute权限的code在加载dll,极有可能,非常有可能是无文件木马或者是shellcode在运行 核心代码如下: void LoadImageNotify(PUNICODE_STRING pF
【文件预览】:
CobaltStrikeDetected-master
----.gitattributes(2KB)
----images()
--------4.png(331KB)
--------3.png(281KB)
--------5.png(216KB)
--------1.png(359KB)
--------2.png(334KB)
--------6.png(497KB)
----README.md(3KB)
----CobaltStrikeDetected.sln(3KB)
----.gitignore(6KB)
----CobaltStrikeDetected()
--------CobaltStrikeDetected.vcxproj(7KB)
--------CobaltStrikeDetected.inf(476B)
--------CobaltStrikeDetected.vcxproj.filters(1KB)
--------main.cpp(5KB)