Webcast: 使用GoLang执行Shellcode
在本Black Hills信息安全(BHIS)网络研讨会中,我们探讨了使用GoLang编写嵌入Shellcode的恶意软件。GoLang是Google开发的现代编程语言,作为C/C++的继任者,它具有跨平台、高性能、多线程特性,并且与C/C++不同,包含了垃圾回收机制!与依赖公共语言运行时且易于反编译的.NET C#相比,GoLang的优势在于编译为本地机器码。我们探讨了如何在同一进程线程空间中用GoLang执行Windows Shellcode,并研究了一种进程注入方法。
如果你是渗透测试人员,希望扩展恶意软件编写技能,学习一点Go(lang)将让你受益匪浅!
录制时间 • 2021-05-20
加入BHIS社区Discord: https://discord.gg/bhis
时间线内容:
00:00 – 专题演示开始:使用GoLang执行Shellcode
01:39 – 介绍Joff Thyer
02:16 – 什么是GoLang?
04:14 – GoLang的各个方面
07:43 – C#还是Go?
09:24 – Go命令行
10:57 – GoLang类型安全
11:31 – 什么是Shellcode?
12:51 – Shellcode的来源
14:50 – 在Windows上执行Shellcode
16:08 – GoLang "unsafe"包
16:55 – Go "syscall"包正在按平台分化
17:50 – GoLang "windows"包
18:22 – "x/sys/windows"包
20:29 – 深入查看系统调用
22:26 – 调用Kernel32.dll中的函数
23:14 – GoLang:Shellcode的字节数组
24:35 – 方法1:直接系统调用
29:32 – 题外话:防病毒和EDR规避的悖论
32:36 – GoLang中的单字节XOR函数
34:02 – 方法2:在同一进程中创建线程
35:50 – GoLang Windows本地DLL
36:57 – 构建本地DLL的步骤
41:18 – 使用本地DLL进行"就地取材"攻击
44:05 – 演示:运行Shellcode
46:42 – 方法3:进程注入
49:07 – 演示 - 远程进程注入
50:10 – 额外资源
50:51 – 演示 - 远程进程注入继续
52:54 – 问答环节
54:39 – 链接:攻击者模拟和C2 - https://www.antisyphontraining.com/enterprise-attacker-emulation-and-c2-implant-development-w-joff-thyer/
你可以直接从Joff本人的课程中了解更多:
- 正则表达式,你的新生活方式
- 企业攻击者模拟和C2植入开发
- Python入门
提供实时/虚拟和点播方式!
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
![]( "办公AI智能小助手")
