如何使用ThreadStackSpoofer隐藏Shellcode的内存分配行为

最新推荐文章于 2025-02-14 16:24:47 发布
原创 最新推荐文章于 2025-02-14 16:24:47 发布 · 741 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #深度学习 #安全 #网络安全

ThreadStackSpoofer是一种内存规避技术,用于隐藏Shellcode内存分配,防止被安全工具检测。该工具通过线程堆栈欺骗,避免在调用堆栈中出现Shellcode帧,以提升C2产品的安全性。它的工作流程包括读取Shellcode,获取函数指针,注入并启动Shellcode,以及在休眠时修改栈内存。文章提供了工具下载和使用示例,展示了开启欺骗技术前后线程调用栈的区别。

关于ThreadStackSpoofer

ThreadStackSpoofer是一种先进的内存规避技术,它可以帮助广大研究人员或红/蓝队人员更好地隐藏已注入的Shellcode的内存分配行为,以避免被扫描程序或分析工具所检测到。

ThreadStackSpoofer是线程堆栈欺骗技术的一个示例实现,旨在规避恶意软件分析、反病毒产品和EDR在检查的线程调用堆栈中查找Shellcode帧的引用。其思想是隐藏对线程调用堆栈上针对Shellcode的引用,从而伪装包含了恶意代码的内存分配行为。

在该工具的帮助下,可以帮助现有的商业C2产品安全性有更好的提升,并协助红队研究人员开发出更好的安全产品/工具。

工具运行机制

ThreadStackSpoofer的大致运行机制和算法如下所示:

从文件中读取Shellcode的内容;

从dll获取所有必要的函数指针,然后调用SymInitialize;

设置kernel32!Sleep狗子,并指向回我们的回调;

通过VirtualAlloc + memcpy +
CreateThread注入并启动Shellcode。线程应该通过我们的runShellcode函数启动,以避免线程的StartAddress节点进入某些意外或异常的地方(比如说ntdll!RtlUserThreadStart+0x21);

当Beacon尝试休眠的时候,我们的MySleep回调便会被调用;

接下来,我们将栈内存中最新返回的地址重写为0;

最后,会发送一个针对::SleepEx的调用来让Beacon继续等待后续的连接;

休眠结束之后,我们将恢复之前存储的原始函数返回地址并继续执行挂起的任务;

函数的返回地址会分散在线程的堆栈内存区域周围,由RBP/EBP寄存器存储其指向。为了在堆栈上找到它们,我们需要首先收集帧指针,然后取消对它们的引用以进行覆盖:
在这里插入图片描述

*(PULONG_PTR)(frameAddr + sizeof(void
最低0.47元/天 解锁文章
手戳shellcode编写 第一课(动态函数地址调用函数)
啊渊的专栏
08-21 776
在程序免杀中,我们通常不会直接通过函数名称方式来调用函数,一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行,因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础,我们先使用c++源码方式来学习,如果动态的获取函数地址,然后再使用汇编编写以下功能实现shellcode的完成编写。
欺骗调用堆栈以混淆 EDR
技术超强的网络安全平台
08-28 1208
从这个调用堆栈无法判断对 NtOpenProcess/OpenProcess 的调用实际上源自从未备份的内存中运行的代码,并且表面上的线程看起来是真实的(尽管 cmd.exe 是人为的并且明显可疑)。由于调用源自未备份的内存,SysMon 将调用堆栈中的最后一项记录为“未知”(例如,堆栈遍历中的最后一个返回地址属于浮动/未备份的代码,而不是合法加载的模块),因此显然是可疑的。在 X64 中,事情变得更加复杂,因为 Rbp 不再用作帧指针,因此,遗憾的是,上面使用的方法将不起作用。,并从那里进行交叉引用。
threadstack.dll,CE修改器获取THREADSTACK0 地址
08-27
CE修改器获取THREADSTACK0 后,需要在程序中获取此地址,该dll是使用C++封装的一个库,使用此库只需要传入程序的PID以及线程的序号(如果是THREADSTACK0则序号为0以此类推),封装的dll可以被C# VB调用,理论上高级语言都是可以的,期待你的下载以及发现。
Cheat Engine 修改器获取内存数据心路历程, THREADSTACK0 C# .NET VB 获取基址 CE修改器
岔路ko的博客
08-27 4342
第一次使用CE写项目,熬了几个大夜终于搞定了。使用CE修改器获取基址,使用C++编译函数获取基址,THREADSTACK0
THREAD STACK
whowho的专栏
06-18 1083
sBeginThreadWithContextInternal会消耗掉KernelStack[6]~ KernelStack[12]然后jmp  _KiServiceExit,此时对应正好是KTRAP_FRAME的顶部   对于KernelStack[5]的设置实际上是为线程的调度/切换准备的,目的是为新建线程提供一个虚构的程序执行“断点”,仿佛原先就是在这里被剥夺了运行,下次受调度运行时就从
shellcode隐藏运行
dongyewolong的专栏
07-26 1759
学习shellcode程序设计时,在我们提取了shellcode以后,可以简单的实现其隐藏运行。  一、shellcode的运行 下面的这段代码,是简略的过程。 #include unsigned char ShellCode[] = "\x55\x8B\xEC\x33\xFF\x57\x83\xEC\x08....";    //其余省略 int main() {     ((
免杀-Shellcode分离隐藏&C++
qq_45087791的博客
02-27 3306
Shellcode分离隐藏-让杀毒找不到。离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的ShellCode通过分块传输的方法上传然后再拼接,这些体现了基本的"分离"思想。
基于Python实现的Shellcode内存加载工具.zip
最新发布
06-02
基于Python实现的Shellcode内存加载工具.zip
shellcode内存注入
04-24
1. **内存分配** 使用$VirtualAlloc/VirtualAllocEx$函数在目标进程分配可执行内存区域: ```c LPVOID pRemoteMemory = VirtualAllocEx(hProcess, NULL, shellcodeSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE); ...
精选资源
使用shellcode动态加载dll-易语言
06-11
2. **内存分配与写入**:使用易语言的API调用(如`VirtualAlloc`和`WriteProcessMemory`)在目标进程的地址空间内分配内存,并将shellcode写入该内存区域。 3. **执行shellcode**:创建一个新的线程或者在当前线程...
红队培训班作业 | 混淆&反沙盒机制&隐藏shellcode 过杀软静态检测
Ms08067安全实验室
09-07 650
本文作者:某学员A(红队培训班2期学员)1、加密或编码或混淆过杀软静态检测l 如下代码为实现payload经过fernet对称加密的shellcode生成器:#coding:utf-8 ...
堆栈和托管堆
07-26 637
<br />内存格局通常分为四个区<br />全局数据区:存放全局变量,静态数据,常量<br />代码区:存放所有的程序代码<br />栈区:存放为运行而分配的局部变量,参数,返回数据,返回地址等,<br />堆区:即自由存储区<br />      值类型变量与引用类型变量的内存分配模型也不一样。为了理解清楚这个问题,首先必须区分两种不同类型的内存区域:线程堆栈(Thread Stack)和托管堆(Managed Heap)。<br />      每个正在运行的程序都对应着一个进程(process),在
JVM Thread Stack线程栈分析
喵酱
08-12 777
JVM Thread Stack线程栈分析
函数调用堆栈地址欺骗类
做一个快乐学习者
12-07 641
原始函数调用堆栈 欺骗后函数调用堆栈
堆栈欺骗和内存扫描绕过
白帽子安全笔记
02-10 1303
在这之前,我们介绍了如何使用sleepmask轻松绕过yara规则从而绕过卡巴斯基一类的基于传统的内存扫描的AV(反病毒软件),但问题来了,除了这类检测手段之外,还有基于堆栈检测的EDR,特别是最近一两年这种检测技术逐渐形成。本文余老师给大家演示下堆栈欺骗和sleepmask它们的优势和存在的问题,我们将对EDR和AV采取不同的进攻策略。
真实样本分析堆栈欺骗技术
博客地址 www.sec0nd.top
10-23 1077
调用堆栈欺骗并不是一种新技术,但在过去几年中它变得越来越流行。调用堆栈是EDR软件的遥测源,可用于确定进程是否执行了可疑操作(向类进程请求句柄、将可疑代码写入新分配的区域,等等)。该技术的目的是构建一个模拟合法调用堆栈的假调用堆栈,以隐藏可能被EDR或其他安全软件检测到的可疑活动。
简单的栈回溯 & 简单的栈回溯欺骗 -- 简单分析
热门推荐
astrotycoon
11-11 1万+
原文地址在: http://hi.baidu.com/iceboy_/item/924f349e10c9fbcfb62531f7# 对于我这样的新手好长时间才看懂,本文就那篇文章中的程序来简单分析一下。程序如下: #include #include #include #pragma warning(disable: 4311 4312 4313) int fake_ebp
堆栈欺骗技术
Shanfenglan's blog
02-14 331
核心思路就是不让edr发现函数是从shellcode中调用的,而是通过正常的堆栈调用的.
ThreadStackSpoofer 使用教程
gitblog_00839的博客
08-31 398
ThreadStackSpoofer 项目的目录结构如下: ``` ThreadStackSpoofer/ ├── CODE_OF_CONDUCT.md ├── LICENSE.txt ├── README.md ├── ThreadStackSpoofer.sln ├── ThreadStackSpoofer/ │ ├── images/ │ └── ... └── images/ `...
MemLoad2Shellcode: 便捷的Shellcode框架与内存加载工具
- 在内存加载过程中,可能会使用到一些特殊的API函数或技术,比如Windows中的VirtualAlloc函数分配可执行内存,或者是使用ROP(Return Oriented Programming)技术来利用已存在的代码片段执行所需的操作。...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值