前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >Hades:一款整合了多种规避技术的Go Shellcode加载器

Hades:一款整合了多种规避技术的Go Shellcode加载器

作者头像
FB客服
发布2023-08-08 11:23:09
4170
发布2023-08-08 11:23:09
举报
文章被收录于专栏:FreeBuf
关于Hades

Hades是一款整合了多种规避技术的Go Shellcode加载器,当前版本的Hades只是一个概念验证程序,旨在帮助广大研究人员尝试绕过流行AV/EDR的安全防御机制,并以此来验证安全防护产品的能力。

工具要求

由于该工具基于Go语言开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go环境。

接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地,并使用make命令在Linux操作系统上完成项目代码构建:

代码语言:javascript
复制
git clone https://github.com/f1zm0/hades && cd hades

make

工具使用

接下来,我们就可以将生成的可执行文件拷贝到x64 Windows主机中,并使用下列命令来运行Hades:

代码语言:javascript
复制
.\hades.exe [options]

我们可以使用-h选项来查看工具的帮助信息:

代码语言:javascript
复制
代码语言:javascript
复制
PS > .\hades.exe -h



  '||'  '||'     |     '||''|.   '||''''|   .|'''.|

   ||    ||     |||     ||   ||   ||  .     ||..  '

   ||''''||    |  ||    ||    ||  ||''|      ''|||.

   ||    ||   .''''|.   ||    ||  ||       .     '||

  .||.  .||. .|.  .||. .||...|'  .||.....| |'....|'



          version: dev [11/01/23] :: @f1zm0



Usage:

  hades -f <filepath> [-t selfthread|remotethread|queueuserapc]



Options:

  -f, --file <str>        Shellcode文件路径(默认.bin)

  -t, --technique <str> 要使用的注入技术,包括[selfthread, remotethread, queueuserapc]

工具使用样例

使用queueuserapc技术注入Shellcode并执行calc.exe:

代码语言:javascript
复制
.\hades.exe -f calc.bin -t queueuserapc

工具使用演示

使用系统调用RAV排序绕过用户模式钩子(NtQueueApcThread挂钩frida-trace自定义Handler):

使用间接系统调用实现指令回调绕过(注入的DLL来源于jackullrichsyscal-detect):

杂项-直接系统调用版本

在最新发布版本中,直接系统调用功能被替换成了acheron提供的间接系统调用。出于某些原因,你可能想要使用之前的加载器版本(使用直接系统调用),那么你需要显式地将direct_syscalls标签传递给编译器,编译器将决定在构建过程中需要包含或排除哪些文件:

代码语言:javascript
复制
代码语言:javascript
复制
GOOS=windows GOARCH=amd64 go build -ldflags "-s -w" -tags='direct_syscalls' -o dist/hades_directsys.exe cmd/hades/main.go
代码语言:javascript
复制

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

Hades:https://github.com/f1zm0/hades

https://github.com/f1zm0/acheron

https://pkg.go.dev/unsafe

https://go.dev/doc/asm

https://frida.re/

https://github.com/f1zm0/hades/blob/main/scripts/NtQueueApcThread.js

https://docs.microsoft.com/enus/windows/win32/api/processthreadsapi/nf-processthreadsapi-queueuserapc

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2023-06-23,如有侵权请联系 cloudcommunity@tencent.com 删除
go
编译器
工具
开发
系统

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

go
编译器
工具
开发
系统
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 工具要求
  • 工具使用
  • 工具使用样例
  • 工具使用演示
  • 杂项-直接系统调用版本
  • 许可证协议
  • 项目地址
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论