文件名称:DripLoader:用于绕过基于事件的注入检测 (PoC) 的 Evasive shellcode 加载程序
文件大小:14KB
文件格式:ZIP
更新时间:2024-08-13 06:16:51
shellcode shellcode-loader edr shellcode-injector evasion-attacks
(这里的清理版本: : ) DripLoader (PoC) 用于绕过基于事件的注入检测的 Evasive shellcode 加载器,而不必抑制事件收集。 该项目旨在突出事件驱动注入识别的局限性,并表明 EDR 中需要更高级的内存扫描和更智能的本地代理软件清单。 DripLoader 通过以下方式避开常见的 EDR: 使用风险最高的 API,如NtAllocateVirtualMemory和NtCreateThreadEx 与调用参数混合以创建供应商因数量而*丢弃或记录并忽略的事件 通过引入延迟避免多事件相关性 DripLoader 有什么作用 标识适合我们的有效负载的基地址 在基地址保留足够的AllocationGranularity (64kB) 大小的NO_ACCESS内存段 循环那些 分配PageSize (4kB) 大小的可写段 编写shellcode 重新保护为
【文件预览】:
DripLoader-master
----README.md(2KB)
----.github()
--------workflows()
----.gitattributes(2KB)
----DripLoader.sln(1KB)
----DripLoader()
--------NtdllWinX.asm(1KB)
--------DripLoader.h(1KB)
--------Helpers.cpp(36KB)
--------DripLoader.vcxproj.filters(1KB)
--------DripLoader.vcxproj(7KB)
--------NtThings.h(758B)
--------DripLoader.cpp(23KB)