SuperdEye:一款基于纯Go实现的间接系统调用执行工具

2025-01-20 2 0

关于SuperdEye

SuperdEye是一款基于纯Go实现的间接系统调用执行工具,该工具是TartarusGate 的修订版,可以利用Go来实现TartarusGate 方法进行间接系统调用。

该工具的目标是为了扫描挂钩的NTDLL并检索Syscall编号,然后使用它来执行间接系统调用,从而允许绕过基于函数钩子的AV/EDR。

工具功能

该工具将扫描已挂钩的 NTDLL。一旦找到目标函数,如果该函数被 AV 或 EDR 挂钩,将扫描上下相邻函数,直到找到干净的系统调用。这将允许计算目标函数的 ssn。一旦找到 ssn,就会构建一个间接系统调用。

工具运行原理如下图所示:

工具要求

Golang

工具安装

由于该工具基于Go开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go语言环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/almounah/superdeye.git

工具使用

该工具的使用非常简单,我们只需要直接导入包并使用即可。

SuperdEye 包公开了SuperSyscall,并可直接将其用于执行间接系统调用:

import (

"fmt"

"unsafe"

 

"github.com/almounah/superdeye"

)

...

 

NTSTATUS, err = superdeye.SuperdSyscall("NtCreateThreadEx", uintptr(unsafe.Pointer(&hThread)), uintptr(0x1FFFFF), uintptr(0), handleProcess, pBaseAddress, uintptr(0), uintptr(0), uintptr(0), uintptr(0), uintptr(0), uintptr(0))

if err != nil {

        fmt.Println("Syscall was not executed... Likely the Syscall was not found or a bug...")

fmt.Println(err.Error())

}

fmt.Println("Syscall NtCreateThreadEx Made with NTSTATUS ", NTSTATUS)

为了更好的可用性,一些系统调用已经跟官方包golang.org/x/sys/windows封装到一起以实现更好的兼容性:

import (

"fmt"

"unsafe"

 

"github.com/almounah/superdeye"

"golang.org/x/sys/windows"

)

...

pBaseAddress, NTSTATUS, err := superdeye.NtAllocateVirtualMemory(windows.Handle(handleProcess), uintptr(0), uintptr(len(payloadClearText)), windows.MEM_COMMIT|windows.MEM_RESERVE, windows.PAGE_EXECUTE_READWRITE)

if err != nil {

        fmt.Println("Syscall was not executed... Likely the Syscall was not found or a bug...")

fmt.Println(err.Error())

}

fmt.Println("Syscall NtAllocateVirtualMemory Made with NTSTATUS ", NTSTATUS)

...

未来将有更多 Syscalls 与官方 Windows 包兼容(欢迎贡献superdwrapper.go的代码)。

工具运行效果

项目地址

SuperdEye:【GitHub传送门

参考资料

https://github.com/C-Sto/BananaPhone/tree/master

https://github.com/f1zm0/acheron

https://myanimelist.net/anime/39535/Mushoku_Tensei__Isekai_Ittara_Honki_Dasu

相关文章:

  1. Drltrace:针对Windows和Linux应用程序的库调用跟踪器
  2. 如何使用mapXplore将SQLMap数据转储到关系型数据库中
  3. CodeQL:探索代码安全的利器
  4. MeterSphere的一次越权审计
  5. 浅谈src挖掘中——文件上传和XSS漏洞的组合拳

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评
漏洞分析
0 0

相关文章

分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集
Vanir:一款基于基于源代码的静态分析工具
NativeBypassCredGuard:一款基于NTAPI的Credential Guard安全测试工具
如何使用MaskerLogger防止敏感数据发生泄露
docker的使用和遇到的问题解决记录
Vault: 密码管理蓝队篇(上)

发布评论