Pasillo es un cargador reflectante independiente de la posición para Cobalt Strike.cero resultados de faro de sueño de caza, Cazador de balizas, Ojo del faro, patriota, moneta, malla de PEo Detección de memoria maliciosa.
Tabla de Contenidos
característica
fácil de usar
Importe un solo script de CNA antes de generar el shellcode.
Cifrado de memoria dinámica
Cree un nuevo montón para cualquier asignación de Beacon y cifre las entradas antes de dormir.
Ofuscación y cifrado de código
Cambie y cifre la memoria que contiene código ejecutable CS a código no ejecutable (FOLLAGE).
suplantación de dirección de retorno en tiempo de ejecución
Ciertas llamadas WinAPI se realizan con direcciones de retorno falsificadas (InternetConnectA, NtWaitForSingleObject, RtlAllocateHeap).
no puedo dormir
Utilice WaitForSingleObjectEx para retrasar la ejecución.
Cifrado RC4
Todo el cifrado se realiza mediante SystemFunction032.
Problemas conocidos
- Incompatible con cargadores que dependen de subprocesos de shellcode para permanecer activos.