Sangfor华东天勇战队:内存规避
💡
原文中文,约7600字,阅读约需18分钟。
📝
内容提要
本文介绍了规避Cobalt Strike检测的方法,包括内存规避、定制隐匿、内存加密和替换原理。内存规避技术包括修改C2.profile和beacon内存属性等;定制隐匿则可以通过自定义内存属性、删除文件头、自定义命名管道名称等方式实现;内存加密则可以通过加密方式实现。替换原理则是通过替换sleep函数来防止线程进入DelayExecution状态。
🎯
关键要点
- 内存规避技术包括修改C2.profile和beacon内存属性。
- beacon在RWX/WCX权限的内存空间执行,易被发现。
- 定制隐匿通过自定义内存属性、删除文件头和自定义命名管道名称实现。
- 内存加密通过加密方式实现,防止被检测。
- 替换原理通过替换sleep函数防止线程进入DelayExecution状态。
- 加密原理包括在sleep函数中加密shellcode并修改内存属性。
- 注册VEH处理异常以捕获访问冲突,恢复代码执行。
- 替换sleep函数防止线程状态被识别为DelayExecution。
➡️
