发掘Cobalt Strike的隐藏武器:patchit,一招搞定AMSIE和ETW!
项目地址:https://gitcode.com/gh_mirrors/bo/BOF-patchit
在现代网络安全的角斗场上,隐蔽操作与反恶意软件技术的对决无时无刻不在上演。今天,我们要介绍一款专为Cobalt Strike设计的强大开源工具——patchit。这是一款旨在简化AMSI(Antimalware Scan Interface)和ETW(Event Tracing for Windows)绕过的博击插件(BOF),对于红队操作者来说,它如同暗夜中的利刃,无声却致命。
1、项目介绍
patchit是针对x64进程的一站式解决方案,专注于检查、绕过并恢复AMSI与ETW监控。它针对的是最常见的字节码比对需求,同时也是为了应对重复补丁带来的冗余问题而生。不仅能够智能检测系统状态,还能灵活地通过命令加载不同的功能,让操作更加便捷高效。
2、项目技术分析
该BOF应用了两种核心策略:直接的函数字节码对比和动态的系统调用(syscalls)。初始版本通过检查AmsiScanBuffer与EtwEventWrite前几个字节来判断是否已执行过篡改,简洁而有效。随着更新,更引入了间接系统调用的版本,利用NtApi进行更底层的操作,进一步提高了避开安全检测的能力。此外,支持回调解钩功能,增强了其隐匿性与灵活性。
3、项目及技术应用场景
在渗透测试与安全研究领域,patchit的作用不言而喻。当执行高级攻击或红蓝对抗演练时,成功绕过防护机制如AMSI和ETW至关重要,这些通常是微软Windows系统中防御的第一道防线。通过Cobalt Strike平台集成patchit,黑客可以无缝地检查目标系统的防护状态,并在必要时,静默地绕过这些监控点,实现 payload 的隐形部署,而不会触发任何警报。更重要的是,其提供的回滚功能保证了操作的可逆性,使得测试结束后系统状态得以恢复,符合合法测试的标准实践。
4、项目特点
- 全方位操作:提供检查、补丁应用和撤销三大功能,全面覆盖AMSI与ETW操作。
- 技术双轨:既可以通过直接比较函数字节码工作,也有利用间接系统调用来提高逃避检测的能力。
- 智能识别:自动检测目标进程中是否存在amsi.dll,避免不必要的加载操作,体现了代码的精简与效率。
- 简易命令接口:通过简单的命令,如
check,all,revertAll等,即可完成复杂的操作流程,极大提升了用户体验。 - 持续更新与优化:项目保持活跃更新,不断加入新特性,例如最新的回调解钩机制,显示了开发者对社区反馈的积极响应。
综上所述,patchit不仅是一位优秀的战场助手,更是每个深入敌后的红队成员值得信赖的伙伴。它的存在,无疑为复杂的安全环境中进行精细操作提供了强有力的支援,是每一个寻求突破常规限制的安全研究者的必备工具。带着patchit进入你的下一次“战役”,让技术的力量引领你在数字战场上游刃有余。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
