如何使用ModuleShifting测试Module Stomping和Module Overloading注入技术

关于ModuleShifting

ModuleShifting是一款针对Module Stomping和Module Overloading注入技术的安全测试工具,该工具基于Python ctypes实现其功能,因此可以通过Python解释器或Pyramid在内存中完整执行,这样就可以避免使用编译加载器了。

需要注意的是,该技术可以与PE或Shellcode Payload结合使用,但当前版本的ModuleShifting只能与Shellcode Payload一起使用。

功能介绍

当该工具与Shellcode Payload一起使用时,将执行下列操作:

1、通过LoadLibrary加载合法的宿主DLL;

2、将指定区域的内存权限修改为RW;

3、将Shellcode重写至目标区域;

4、添加可选填充数据以更好地伪装成误报行为;

5、将权限更改为RX;

6、通过函数指针执行Shellcode;

7、在执行的Shellcode上写入原始DLL内容;

当该工具与一个PE Payload一起使用时,则会执行下列操作:

1、通过LoadLibrary加载合法的宿主DLL;

2、将指定区域的内存权限修改为RW;

3、将PE内容逐节复制到指定目标点上;

4、添加可选填充数据以更好地伪装成误报行为;

5、执行基地址重新分配;

6、解析导入;

7、通过将权限设置为其本机值来完成内存处理(避免创建RWX内存区域);

8、TLS回调执行;

9、执行PE入口点;

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

复制代码
git clone https://github.com/naksyn/ModuleShifting.git

ModuleShifting可以和Pyramid一起使用,配合一个Python解释器,即可在内存中完整执行本地进程注入了。

此时我们还需要使用下列命令克隆Pyramid代码库:

复制代码
git clone https://github.com/naksyn/Pyramid

然后使用你喜欢的C2生成一个Shellcode Payload,并将其拖动到Pyramid的Delivery_files文件夹中。

修改Pyramid Modules文件夹中moduleshifting.py脚本中的相关参数,然后使用下列命令开启Pyramid服务器:

复制代码
python3 pyramid.py -u testuser -pass testpass -p 443 -enc chacha20 -passenc superpass -generate -server 192.168.1.2 -setcradle moduleshifting.py

工具运行截图

工具演示视频

视频地址 :【点我观看

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可证协议。

项目地址

ModuleShifting :【GitHub传送门

参考资料

https://github.com/naksyn/talks/blob/main/x33fcon%202023%20-%20Improving%20the%20Stealthiness%20of%20Memory%20Injection%20Techniques.pdf

Improving the stealthiness of memory injections techniques | Naksyn's blog

Masking Malicious Memory Artifacts -- Part II: Blending in with False Positives

相关推荐
Yan-英杰43 分钟前
百度搜索和文心智能体接入DeepSeek满血版——AI搜索的新纪元
图像处理·人工智能·python·深度学习·deepseek
weixin_307779132 小时前
Azure上基于OpenAI GPT-4模型验证行政区域数据的设计方案
数据仓库·python·云计算·aws
玩电脑的辣条哥3 小时前
Python如何播放本地音乐并在web页面播放
开发语言·前端·python
多想和从前一样5 小时前
Django 创建表时 “__str__ ”方法的使用
后端·python·django
小喵要摸鱼7 小时前
【Pytorch 库】自定义数据集相关的类
pytorch·python
bdawn7 小时前
深度集成DeepSeek大模型:WebSocket流式聊天实现
python·websocket·openai·api·实时聊天·deepseek大模型·流式输出
Jackson@ML7 小时前
Python数据可视化简介
开发语言·python·数据可视化
mosquito_lover17 小时前
怎么把pyqt界面做的像web一样漂亮
前端·python·pyqt
mengyoufengyu8 小时前
算法12-贪心算法
python·算法·贪心算法
T_Y99438 小时前
pythonrsa加密与sha256加密
python