shellcode-plain-sight 项目教程

shellcode-plain-sight 项目教程

shellcode-plain-sightHiding shellcode in plain sight within a large memory region. Inspired by technique used by Raspberry Robin's Roshtyak项目地址:https://gitcode.com/gh_mirrors/sh/shellcode-plain-sight

项目介绍

shellcode-plain-sight 是一个开源项目，旨在通过将 shellcode 隐藏在一个大内存区域中的随机数据中，来避免被反病毒软件（AV）或端点检测与响应（EDR）系统轻易检测到。该项目受 Raspberry Robin 的 Roshtyak 技术启发，通过分配一个大的 PAGE_READWRITE 内存区域，填充随机数据，并将 shellcode 随机放置在该区域中，从而增加检测难度。

项目快速启动

环境准备

确保你已经安装了以下工具和环境：

• Git
• C 编译器（如 GCC）

克隆项目

git clone https://github.com/LloydLabs/shellcode-plain-sight.git
cd shellcode-plain-sight

编译项目

gcc -o shellcode-plain-sight example_pop_calc.c

运行项目

./shellcode-plain-sight

应用案例和最佳实践

应用案例

shellcode-plain-sight 可以用于以下场景：

• 测试和评估反病毒软件和 EDR 系统的检测能力。
• 在渗透测试中，用于绕过内存扫描技术。

最佳实践

• 随机化位置：确保每次运行时，shellcode 的位置都是随机的，以增加检测难度。
• 内存清理：在执行完 shellcode 后，使用 RtlZeroMemory 宏清理内存，确保数据不会持久化。
• 权限管理：在执行 shellcode 前，确保内存区域的权限设置为 PAGE_EXECUTE。

典型生态项目

与 shellcode-plain-sight 相关的典型生态项目包括：

• Metasploit Framework：一个广泛使用的渗透测试工具，可以生成和执行 shellcode。
• Cuckoo Sandbox：一个开源的自动化恶意软件分析系统，可以用于分析和检测 shellcode。
• Volatility：一个内存取证框架，可以用于分析内存中的 shellcode 和其他恶意活动。

通过结合这些工具和项目，可以更全面地理解和应对 shellcode 相关的安全挑战。

shellcode-plain-sightHiding shellcode in plain sight within a large memory region. Inspired by technique used by Raspberry Robin's Roshtyak项目地址:https://gitcode.com/gh_mirrors/sh/shellcode-plain-sight