工具分享-完全从内存加载DLL和非托管EXE的MemoryModule技术的纯Python实现
2023-6-15 20:10:46 Author: 网络安全交流圈(查看原文) 阅读量:26 收藏

PythonMemoryModule是由Joachim Bauch最初发布的MemoryModule技术的Python ctypes移植。 它利用pefile来解析PE头和ctype。

该工具最初被认为是用作Pyramid模块,通过完全从内存加载python.exe中的dll/exe有效载荷来提供对AV/EDR的规避,但是其他用例也是可能的(IP保护,pyds内存加载,其他隐形技术的衍生产品),所以我决定创建一个专用的repo。

为什么它可以是有用的:

  1. 它基本上允许完全在Python解释语言中使用MemoryModule技术,允许使用股票签名的python.exe二进制文件从内存缓冲区加载dll,而不需要在磁盘上放置外部代码/库(例如pymemorymodule绑定),这些代码/库可以被AV/EDR标记或引起用户的怀疑。

  2. 在编译语言中使用MemoryModule技术,加载器将需要在加载器本身中嵌入MemoryModule代码。使用Python解释语言和PythonMemoryModule可以避免这一点,因为代码可以在内存中动态执行。

  3. 你可以通过动态地在内存中下载、解密和加载应该被隐藏起来的dll来获得某种程度的知识产权保护。请记住,dll仍然可以从内存中恢复和逆向工程,但至少需要攻击者付出更多的努力。

  4. 你可以加载一个stageless payload dll而不执行注入或shellcode执行。加载过程模拟API(它将磁盘上的路径作为输入),而不实际调用它并在内存中操作。

下载地址:https://github.com/naksyn/PythonMemoryModule

承接以下业务:


欢迎添加微信进行业务咨询:

           

文章来源: http://mp.weixin.qq.com/s?__biz=MzI1MDk3NDc5Mg==&mid=2247484776&idx=1&sn=1015ff258dc02bc040d0c396e83067ed&chksm=e9fb424fde8ccb59ca8c4cf22b1005e3d51f2d2aad0f162adf370b71050c5e4f90e7b133cf8f#rd
如有侵权请联系:admin#unsafe.sh