NimPackt是一款基于Nim的打包工具,用于对Windows上的.NET可执行文件和shellcode进行封装,以提高隐蔽性和逆向工程难度。它提供了两种执行方式:重新打包.NET可执行文件并应用规避措施,或使用原始shellcode执行。该工具具备API取消挂钩、AMSI修补、ETW禁用等功能,支持AES加密和跨平台编译,且与CobaltStrike集成。
Git地址:
chvancooten/NimPackt-v1:基于 Nim 的装配打包器和 shellcode 加载器,用于 opsec 和利润 (github.com)
描述
NimPackt是一个基于Nim的打包程序,用于针对Windows的.NET(C#)可执行文件和shellcode。它会自动将有效负载包装在编译为本机C的Nim二进制文件中,因此更难检测和逆向工程。有两种主要的执行方法:
Execute-Assembly重新打包 .NET 可执行文件并运行它,可以选择应用规避措施,如 API 取消挂钩、AMSI 修补或禁用 ETW。Shinject使用原始的、与位置无关的 shellcode 获取.bin文件,并在本地或远程进程中执行它,可以选择使用直接系统调用来触发 shell 代码或修补 API 钩子来逃避 EDR。
目前,NimPackt具有以下功能。
- 使用静态系统调用来修补执行以规避 EDR
- 通过使用 ShellyCoat 刷新来取消生成线程的用户模式 API 的钩子
NTDLL.dll- 修补程序 Windows 事件跟踪 (ETW)
- 修补反恶意软件扫描接口 (AMSI)
- AES 使用随机密钥对有效负载进行加密,以防止静态分析或指纹识别
- 编译为或
exedll- 支持跨平台编译(来自 Linux 和 Windows)
- 与 CobaltStrike 集成,用于生成 ezpz 有效载荷😎
可以在此处找到用于进攻性工具的基于 C# 的二进制文件的重要来源。强烈建议您自己编译 C# 二进制文件。即使嵌入式二进制文件已加密,也应对敏感二进制文件(如 Mimikatz)进行模糊处理,以降低检测风险。
最低0.47元/天 解锁文章
扫一扫
2939
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
