Jektor:一款功能强大的Windows用户模式Shellcode执行测试工具

安全 数据安全
Jektor是一款功能强大的Windows用户模式Shellcode执行测试工具,该工具可以帮助广大研究人员了解和测试恶意软件所使用的各种不同技术。

关于Jektor

Jektor是一款功能强大的Windows用户模式Shellcode执行测试工具,该工具可以帮助广大研究人员了解和测试恶意软件所使用的各种不同技术。

该工具主要针对的是Shellcode注入技术,可以演示恶意软件在目标系统上执行Shellcode时所使用的技术方法,其中包括:

  • 动态解析API函数以避免IAT包含
  • 使用未记录的NT Windows API函数
  • 通过CreateThread执行本地Shellcode
  • 通过CreateRemoteThread执行远程Shellcode
  • 通过QueueUserAPC支持本地Shellcode注入
  • 通过EnumTimeFormatsEx支持本地Shellcode注入
  • 通过CreateFiber进行本地Shellcode注入

反病毒检测

在使用动态函数地址解析时,将一组NOP预挂起到Msfvenom异或加密Shellcode Payload后,可以绕过Windows Defender。

IAT导入规避

Jektor利用了动态函数地址解析,并使用了LoadLibrary和GetProcessAddress来增加了静态分析的难度。

除此之外,很多恶意软件也不会直接调用类似VirtualAlloc这样的重要函数,这也会使得调试和通过断点转储Shellcode变得更加困难。

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

  1. git clone https://github.com/FULLSHADE/Jektor.git 

通过CreateThread实现本地Shellcode执行

在Windows上,当你想要在当前进程中创建一个新的线程,需要调用CreateThread函数,这是在一个进程中执行恶意代码或Shellcode时会使用的一个最基本的技术了。此时,我们只需要为Shellcode分配一个内存区域,然后将Shellcode移动到分配的内存区域中,并使用指向该区域地址的指针来调用CreateThread即可。调用CreateThread时,需传递lpStartAddress 参数,而该参数是一个指向由新创建线程所执行的应用程序定义函数的指针。

通过EnumTimeFormatsEx实现本地Shellcode执行

EnumTimeFormatsEx是一个Windows API函数,可以枚举提供的时间格式,能够用于执行Shellcode,因为第一个参数可以接收用户定义的指针:

  1. BOOL EnumTimeFormatsEx( 
  2.  
  3.   [in]           TIMEFMT_ENUMPROCEX lpTimeFmtEnumProcEx, 
  4.  
  5.   [in, optional] LPCWSTR            lpLocaleName, 
  6.  
  7.   [in]           DWORD              dwFlags, 
  8.  
  9.   [in]           LPARAM             lParam 
  10.  
  11. ); 
  • 使用VirtualAlloc为Shellcode Payload分配本地内存。
  • 使用memcpy/RtlCopyMemory将Shellcode Payload移动到新分配的内存区域。
  • 将Shellcode作为EnumTimeFormatsEx的lpTimeFmtEnumProcEx参数来传递,并触发Shellcode。

通过QueueUserAPC实现本地Shellcode执行

  • 使用VirtualAlloc为Shellcode分配内存缓冲区。
  • 使用GetCurrentProcess获取当前进程的句柄。
  • 使用WriteProcessMemory向新分配的内存区域写入Shellcode Payload。
  • 使用GetCurrentThread获取当前线程的句柄。
  • 将分配的内存区域以pfnAPC参数的形式提供给QueueUserAPC,并将新创建的APC程序加入队列。
  • 通过调用未记录的NtTestAlert函数触发Shellcode Payload,该函数将清除当前线程的APC队列。
  • 通过关闭当前线程和当前进程的句柄来执行清理任务。

项目地址

Jektor:【GitHub传送门

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2023-08-30 08:24:34

2022-02-10 08:18:11

WiFi安全测试工具Wi-Fi Fram

2021-07-09 10:14:05

IP工具命令

2023-09-08 10:28:23

客户端脚本数据

2021-10-19 06:37:21

安全工具Qlog安全日志工具

2020-12-15 15:08:17

工具Java线程

2020-12-15 07:54:40

工具Hutoolgithub

2021-11-01 05:53:08

Doldrums逆向工程分析工具安全工具

2021-10-10 12:17:06

Weakpass在线字典生成器安全工具

2021-10-24 08:15:44

Web身份认证测试框架

2023-10-08 07:51:07

HInvoke项目函数

2021-09-14 15:01:31

Pstf安全工具指纹框架

2021-12-02 18:14:37

PortBender定向工具安全工具

2021-11-11 11:39:39

MailRipV2SMTP安全工具

2020-10-05 21:26:32

工具代码开发

2021-08-10 08:39:06

SSH协议密码爆破安全工具

2023-03-31 07:59:02

2021-10-25 05:39:12

被动网络侦察工具Sigurlfind3安全工具

2021-12-28 15:33:36

安全工具Stacs凭证扫描

2020-12-24 17:08:52

安全工具NoSql注入接口工具
点赞
收藏

51CTO技术栈公众号