最近项目中需要用到自删除这个功能,找师傅问了一下,找到几个还不错的项目 最初始的POC,我也是用的这个,很不错:Mutants_Sessions_Self-Deletion 接下来是两个结合该项目的成品: 这个我暂时没看出来哪里用了frostbyte 这个似乎就用的最开始的那个BeatRev,但这里面的设计思路非常值得学习,准备用到自己的马子上面。
OPSEC点,将syswh3生成的那些Nt函数变成随机函数名,可以起到OPSEC的作用,可以集成在Packer当中。
来自Alaris的代码,其中亮点在于,会把我们shellcode覆盖,可以使用自实现的memcpy应该也能起到覆盖这块内存的效果... Sleep(9999);//暂停9.9秒 uint8_t overwrite[500]; NtWriteVirtualMemory(hProcess, mem, overwrite, sizeof(overwrite), 0);