工具分享 | DuckMemoryScan - 一款检测绝大部分内存免杀马的工具，护网蓝队必备。

IT软件汇

于 2024-09-14 14:56:50 发布

阅读量407

点赞数 1

分类专栏：渗透工具文章标签：网络安全护网渗透测试蓝队免杀内存马红队

本文链接：https://blog.youkuaiyun.com/m0_71784624/article/details/142258506

版权

渗透工具专栏收录该内容

116 篇文章

订阅专栏

0x00 工具介绍

DuckMemoryScan是一款检测绝大部分内存免杀马的工具。

0x01 下载链接

DuckMemoryScan下载链接: 夸克网盘分享

0x02 功能介绍

HWBP hook检测
内存免杀shellcode检测
可疑进程检测
无文件落地木马检测
简易rootkit检测
检测异常模块,检测绝大部分如"iis劫持"的后门

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

IT软件汇

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

免杀-绕过内存扫描

weixin_44747030的博客

11-16

2064

免杀-绕过内存扫描

在校自研内存马查杀工具，非常实用

stopys6的博客

09-07

657

该工具总体解决了tomcat和spring内存马的查杀问题，使蓝队师傅们在面对内存马时不再只能使用重启大法。还得为一些可能再也起不来的服务担惊受怕。且该工具比较轻便，对服务没有太多入侵，不会影响服务的正常运行（别删错人家正常功能就行）。再者，该代码尽可能兼容了多版本的环境，使用起来兼容性较高。目前代码已经满足基本功能，后续打算放在github上开源供大家使用。目前还在不断的实战中看看有没有什么新的bug出现，等调试好了就会放到github上。在我后续文章中会放出github链接。

参与评论您还未登录，请先登录后发表或查看评论

DuckMemoryScan：检测绝大部分所谓的内存免杀马

03-04

DuckMemoryScan 一个简单寻找包括不限于iis劫持，无文件木马，shellcode免杀后门的工具，由huoji花了1天编写，编写时间2021-02-24 ！！！！！！！！！！！！！！！！！！！！！！！！！，不要执行32位编译！！！ !!!本工具不能代替杀毒软件!!! 运行截图功能列表 HWBP hook检测检测线程中所有疑似被hwbp隐形链接内存免杀shellcode检测（metasploit，Cobaltstrike完全检测）可疑进展检测（主要针对有逃避性质的进展[如过期签名与多部分细分段]）无文件落地木马检测（检测所有已知内存加载木马）简易rootkit检测（检测证书过期/拦截复制/证书无效的驱动）检测异常模块，检测绝大部分如“ iis劫持”的后门（2021年2月26日添加）免杀木马检测原理：所有所谓的内存免杀后门大部分基于“ VirtualAlloc”函

使用DuckMemoryScan: 深度挖掘内存信息的技术利器

最新发布

gitblog_00014的博客

04-14

487

使用DuckMemoryScan: 深度挖掘内存信息的技术利器去发现同类优质开源项目:https://gitcode.com/ 项目简介是一个开源的跨平台内存扫描工具，由开发者huoji120创建并维护。该项目旨在帮助安全研究人员、逆向工程师和软件调试者快速定位内存中的特定数据，从而深入理解程序运行时的状态。技术分析 DuckMemoryScan基于Python编写，利用了ctypes库以实...

[免杀学习]杀毒软件扫描浅析(上)

qq_42585535的博客

07-22

369

1.获取当前进程的句柄，也就是我们写的cpp程序，自己获取自己的句柄2.进入ScanProcessMemory方法，执行内存属性扫描流程3.先做准备工作，获取当前系统的可用虚拟地址空间范围（GetSystemInfo(&sysinfo);4.通过MEMORY_BASIC_INFORMATION获取每一个连续的内存页面，并将其起始地址，结束地址，状态，类型打印到控制台5.把用户模式下可用的所有内存空间遍历完后，退出函数，返回主函数，关闭进程句柄。

HVV之内存马检测工具

公众号:乌云安全

09-23

821

一个简单寻找包括不限于iis劫持，无文件木马,shellcode免杀后门的工具，本程序需要64位编译才能回溯x64的程序堆栈，请勿执行32位编译。本工具不能代替杀毒软件。功能列表HWBP hook检测检测线程中所有疑似被hwbp隐形挂钩内存免杀shellcode检测(metasploit,Cobaltstrike完全检测)可疑进程检测(主要针对有逃避性质的进程[如过期签名与多各可执行区段])无文件落地木马检测(检测所有已知内存加载木马)

webshell-venom-master一些免杀马

04-13

WebshellVenomMaster是一款针对Web安全的开源工具，主要用于研究和测试Web服务器的安全性。它包含了一系列用不同编程语言编写的Webshell，这些Webshell在设计时考虑了免杀（evasion）特性，使得它们能在一定程度上...

一只php免杀马.php

10-30

最新免杀php变种一句话，亲测过啊D，不知道什么时候加入特征库报毒

手动杀马工具

03-09

"手动杀马工具"是专门针对这类威胁设计的专业软件，用于检测和清除系统中的木马病毒。下面我们将深入探讨手动杀马工具的工作原理、使用方法以及它在对抗木马病毒过程中的重要性。手动杀马工具与自动杀毒软件不同，...

智能安全实验室-杀马(Defendio)是免费软件

10-29

智能安全实验室-杀马(Defendio)是免费软件

批量杀马工具批量杀马工具

03-09

批量杀马工具批量杀马工具批量杀马工具批量杀马工具批量杀马工具批量杀马工具批量杀马工具批量杀马工具

D盾网站源码后门木马检测工具

11-07

D盾网站源码后门木马检测工具

39杀木马软件源代码

02-25

39杀木马软件源代码一个简单的可以杀木马的软件源代码

Java内存马检测工具推荐

2301_81907423的博客

01-02

910

java-memshell-scanner （GitHub - c0ny1/java-memshell-scanner: 通过jsp脚本扫描java web Filter/Servlet型内存马）shell-analyzer（https://github.com/4ra1n/shell-analyzer）GitHub - r00t4dm/aLIEz: 杀内存马的工具，欢迎code review，提出更好的意见 GitHub - LandGrey/copagent: java memory web she

蓝队入门之效率工具篇

黑战士的博客

07-28

740

如果有不知道的朋友，也没关系，容我简单介绍一下攻防演练的由来这个概念是从2016年开始的，当时在国家相关网络安全监管机构的推动下，网络安全演习工作日益得到重视，从而分出红队、蓝队、紫队；因此，为了提高网络环境的安全性，加强信息的安全管理，有必要提出一种利用网络数据包特征分析技术实现对指定敏感特征内容的识别和提取，完成应用系统请求、应答特征内容的监控，增强安全管理员对一些重要应用系统敏感内容访问的智能监控，防止重要信息泄露。所以担任这一职位的师傅们，就有的忙了，一旦出现问题，就是师傅们上场的信号了。...

【应急响应】网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析

今天是几号的博客

03-14

2348

并且gsl.aspx webshell实体被删除后，仍然可以连接正常使用，且无法扫描出内存马。aspx内存马查杀项目：ASP.NET-Memshell-Scanner-master。在日志里进行搜索，那些ip访问了gsl.aspx等后门文件。被注入内存马之后，使用gsl可以直接连接任何路径"后门"火绒，管家，X60，Defender，Nod32等。5、在线webshell查杀-灭绝师太版。4、网页篡改与后门攻击防范应对指南。1、抗拒绝服务攻击防范应对指南。8、APT攻击入侵防范应对指南。

java内存马查杀工具

qq_44749590的博客

08-18

1138

java内存马查杀工具。

新型 tomcat websocket 内存马检测与防护思路探究

Jinmindong

03-08

564

本文通过分析该新型内存马原理，提出了对应的检测思路，并实现了一个简陋的内存马检测代码和内存马删除代码，希望该方法能够帮助有此需求的同行安全运维人员，也希望能够抛砖引玉，开展更为深入的讨论。

查杀内存马工具

weixin_46211944的博客

09-23

618

查杀内存马工具。

Ghost RAT DarkComet PoisonIvy NetWire BlackShades njRAT XtremeRAT NanoCore RAT Quasar RAT AsyncRAT这些免杀马的代码举例说明介绍

05-18

这些都是远程访问工具（Remote Access Tool，RAT），也称为远控或后门，它们的设计初衷是用于合法的远程管理和支持，但是黑客和攻击者也可以使用它们来远程控制受害者的计算机。这些 RAT 工具的共同特点是它们都可以在被感染的计算机上运行，并在不被察觉的情况下监控和控制被感染的计算机。这些 RAT 工具广泛应用于网络犯罪和间谍活动中。这些 RAT 工具的免杀能力通常是通过以下方式实现的： 1. 使用加壳技术：这些 RAT 工具经常使用加壳技术来隐藏其真实性质，使其在被杀毒软件扫描时难以识别。 2. 使用虚拟化技术：这些 RAT 工具可以使用虚拟化技术来创建虚拟环境，使其在被杀毒软件扫描时无法被检测。 3. 使用反调试技术：这些 RAT 工具通常会使用反调试技术来防止被调试器拦截，使其在被分析时更加困难。总之，这些 RAT 工具的使用给网络安全带来了巨大的威胁，我们需要始终保持警惕，加强网络安全防护。