如何使用ThreadStackSpoofer隐藏Shellcode的内存分配行为

最新推荐文章于 2025-02-10 16:00:45 发布
原创 最新推荐文章于 2025-02-10 16:00:45 发布 · 160 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

ThreadStackSpoofer是一种高级内存规避技术,用于隐藏Shellcode的内存分配行为,防止被扫描程序检测到。该技术通过修改线程堆栈上的Shellcode引用,使恶意代码更难被发现。

关于ThreadStackSpoofer

ThreadStackSpoofer是一种先进的内存规避技术,它可以帮助广大研究人员或红/蓝队人员更好地隐藏已注入的Shellcode的内存分配行为,以避免被扫描程序或分析工具所检测到。

ThreadStackSpoofer是线程堆栈欺骗技术的一个示例实现,旨在规避恶意软件分析、反病毒产品和EDR在检查的线程调用堆栈中查找Shellcode帧的引用。其思想是隐藏对线程调用堆栈上针对Shellcode的引用,从而伪装包含了恶意代码的内存分配行为。

在该工具的帮助下,可以帮助现有的商业C2产品安全性有更好的提升,并协助红队研究人员开发出更好的安全产品/工具。

工具运行机制

ThreadStackSpoofer的大致运行机制和算法如下所示:

从文件中读取Shellcode的内容;

从dll获取所有必要的函数指针,然后调用SymInitialize;

设置kernel32!Sleep狗子,并指向回我们的回调;

通过VirtualAlloc + memcpy + CreateThread注入并启动Shellcode。线程应该通过我们的runShellcode函数启动,以避免线程的StartAddress节点进入某些意外或异常的地方(比如说ntdll!RtlUserThreadStart+0x21);

当Beacon尝试休眠的时候,我们的MySleep回调便会被调用;

接下来,我们将栈内存中最新返回的地址重写为0;

最后,会发送一个针对::SleepEx的调用来让Beacon继续等待后续的连接;

休眠结束之后,我们将恢复之前存储的原始函数返回地址并继续执行挂起的任务;

函数的返回地址会分散在线程的堆栈内存区域周围,由RBP/EBP寄存器存储其指向。为了在堆栈上找到它们,我们需要首先收集帧指针,然后取消对它们的引用以进行覆盖:

*(PULONG_PTR)(frameAddr + sizeof(void*)) = Fake_Return_Address;

→点击查看技术资料←

1.2000多本网络安全系列电子书> 2.网络安全标准题库资料> 3.项目源码> 4.网络安全基础入门、Linux、web安全、攻防方面的视频> 5.网络安全学习路线图

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/mgeeky/ThreadStackSpoofer.git

工具使用

使用样例

C:> ThreadStackSpoofer.exe <shellcode> <spoof>

其中:

:Shellcode的文件路径;

:“1”或“true”代表启用线程栈内存欺骗,其他参数表示禁用该技术;

欺骗Beacon的线程调用栈示例

PS D:\dev2\ThreadStackSpoofer> .\x64\Release\ThreadStackSpoofer.exe .\tests\beacon64.bin 1
[.] Reading shellcode bytes...
[.] Hooking kernel32!Sleep...
[.] Injecting shellcode...
[+] Shellcode is now running.
[>] Original return address: 0x1926747bd51. Finishing call stack...
===> MySleep(5000)
[<] Restoring original return address...
[>] Original return address: 0x1926747bd51. Finishing call stack...
===> MySleep(5000)

 

[<] Restoring original return address...

[>] Original return address: 0x1926747bd51. Finishing call stack...

工具使用演示

下面的例子中,演示了没有执行欺骗技术时的堆栈调用情况:

开启线程堆栈欺骗之后的堆栈调用情况如下图所示:

上述例子中,我们可以看到调用栈中最新的帧为MySleep回调。我们可以通过搜索规则查找调用堆栈未展开到系统库中的线程入口点:

kernel32!BaseThreadInitThunk+0x14
ntdll!RtlUserThreadStart+0x21

上图所示为未修改的Total Commander x64线程。正如我们所看到的,它的调用堆栈在初始调用堆栈帧方面与我们自己的调用堆栈非常相似。

Jinmindong
关注
手戳shellcode编写 第一课(动态函数地址调用函数)
啊渊的专栏
08-21 742
在程序免杀中,我们通常不会直接通过函数名称方式来调用函数,一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行,因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础,我们先使用c++源码方式来学习,如果动态的获取函数地址,然后再使用汇编编写以下功能实现shellcode的完成编写。
shellcode隐藏运行
dongyewolong的专栏
07-26 1754
学习shellcode程序设计时,在我们提取了shellcode以后,可以简单的实现其隐藏运行。  一、shellcode的运行 下面的这段代码,是简略的过程。 #include unsigned char ShellCode[] = "\x55\x8B\xEC\x33\xFF\x57\x83\xEC\x08....";    //其余省略 int main() {     ((
免杀-Shellcode分离隐藏&C++
qq_45087791的博客
02-27 3246
Shellcode分离隐藏-让杀毒找不到。离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的ShellCode通过分块传输的方法上传然后再拼接,这些体现了基本的"分离"思想。
红队培训班作业 | 混淆&反沙盒机制&隐藏shellcode 过杀软静态检测
Ms08067安全实验室
09-07 638
本文作者:某学员A(红队培训班2期学员)1、加密或编码或混淆过杀软静态检测l 如下代码为实现payload经过fernet对称加密的shellcode生成器:#coding:utf-8 ...
threadstack.dll,CE修改器获取THREADSTACK0 地址
08-27
CE修改器获取THREADSTACK0 后,需要在程序中获取此地址,该dll是使用C++封装的一个库,使用此库只需要传入程序的PID以及线程的序号(如果是THREADSTACK0则序号为0以此类推),封装的dll可以被C# VB调用,理论上高级语言都是可以的,期待你的下载以及发现。
基于Python实现的Shellcode内存加载工具.zip
最新发布
06-02
基于Python实现的Shellcode内存加载工具.zip
shellcode内存注入
04-24
1. **内存分配** 使用$VirtualAlloc/VirtualAllocEx$函数在目标进程分配可执行内存区域: ```c LPVOID pRemoteMemory = VirtualAllocEx(hProcess, NULL, shellcodeSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE); ...
使用shellcode动态加载dll-易语言
06-11
2. **内存分配与写入**:使用易语言的API调用(如`VirtualAlloc`和`WriteProcessMemory`)在目标进程的地址空间内分配内存,并将shellcode写入该内存区域。 3. **执行shellcode**:创建一个新的线程或者在当前线程...
THREAD STACK
whowho的专栏
06-18 1071
sBeginThreadWithContextInternal会消耗掉KernelStack[6]~ KernelStack[12]然后jmp  _KiServiceExit,此时对应正好是KTRAP_FRAME的顶部   对于KernelStack[5]的设置实际上是为线程的调度/切换准备的,目的是为新建线程提供一个虚构的程序执行“断点”,仿佛原先就是在这里被剥夺了运行,下次受调度运行时就从
堆栈欺骗和内存扫描绕过
白帽子安全笔记
02-10 1260
在这之前,我们介绍了如何使用sleepmask轻松绕过yara规则从而绕过卡巴斯基一类的基于传统的内存扫描的AV(反病毒软件),但问题来了,除了这类检测手段之外,还有基于堆栈检测的EDR,特别是最近一两年这种检测技术逐渐形成。本文余老师给大家演示下堆栈欺骗和sleepmask它们的优势和存在的问题,我们将对EDR和AV采取不同的进攻策略。
真实样本分析堆栈欺骗技术
博客地址 www.sec0nd.top
10-23 1038
调用堆栈欺骗并不是一种新技术,但在过去几年中它变得越来越流行。调用堆栈是EDR软件的遥测源,可用于确定进程是否执行了可疑操作(向类进程请求句柄、将可疑代码写入新分配的区域,等等)。该技术的目的是构建一个模拟合法调用堆栈的假调用堆栈,以隐藏可能被EDR或其他安全软件检测到的可疑活动。
简单的栈回溯 & 简单的栈回溯欺骗 -- 简单分析
热门推荐
astrotycoon
11-11 1万+
原文地址在: http://hi.baidu.com/iceboy_/item/924f349e10c9fbcfb62531f7# 对于我这样的新手好长时间才看懂,本文就那篇文章中的程序来简单分析一下。程序如下: #include #include #include #pragma warning(disable: 4311 4312 4313) int fake_ebp
ThreadStackSpoofer 使用教程
gitblog_00839的博客
08-31 392
ThreadStackSpoofer 项目的目录结构如下: ``` ThreadStackSpoofer/ ├── CODE_OF_CONDUCT.md ├── LICENSE.txt ├── README.md ├── ThreadStackSpoofer.sln ├── ThreadStackSpoofer/ │ ├── images/ │ └── ... └── images/ `...
【Java Thread StackSize】如何理解Java中Thread构造器中的stackSize的默认值为0?
张弈秋的博客
03-19 5126
Thred的stackSize默认值 e-mail:rolltion.zhang@foxmail.com 前言:为什么要研究默认值 在Java和Java开发框架中,我们经常会遇到一系列的默认值,尽管他们种类繁多、功能不同,但他们在程序中扮演着...
从0到1写RT-Thread内核——空闲线程与阻塞延时的实现
qq_37659294的博客
09-08 1486
在之前写的另外一篇文章——<从0到1写RT-Thread内核——线程定义及切换的实现>中线程体内的延时使用的是软件延时,即还是让CPU空等来达到延时的效果。RTOS中的延时叫阻塞延时,即线程需要延时的时候,线程会放弃CPU的使用权,CPU可以去干其他的事情,当线程延时时间到,重新获取CPU使用权,线程继续运行,这样就充分利用了CPU的资源,而不是干等着。 ...
mysql thread_stack连接线程优化
OxygenChen
03-20 3864
先来看一段报错信息: ### Error updating database. Cause: java.sql.SQLException: Thread stack overrun: 246160 bytes used of a 262144 byte stack, and 16000 bytes needed. Use 'mysqld --thread_stack=#' to specify...
threadstack mysql_mysql参数优化:thread_stack大小设置
weixin_35903223的博客
01-30 3785
MySQL可以通过网络方式连接,也可以通过命名管道的方式连接。MySQL建立一个Thread Cache池,将空闲的连接线程存放其中,备用而不销毁。有新的连接请求时,MySQL首先会检查Thread Cache中是否存在空闲连接线程,如果没有则创建新的连接线程。MYSQL相关参数:Thread_cache_size:Thread Cache池中存放的连接线程数。Thread_stack:每个连接线...
得到当前堆栈信息的两种方式(Thread和Throwable)的方法
疯狂的小马
11-19 5958
Thread.currentThread().getStackTrace()[2].getClassName(); 为什么是2 不是1.
MemLoad2Shellcode: 便捷的Shellcode框架与内存加载工具
- 在内存加载过程中,可能会使用到一些特殊的API函数或技术,比如Windows中的VirtualAlloc函数分配可执行内存,或者是使用ROP(Return Oriented Programming)技术来利用已存在的代码片段执行所需的操作。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值