神兵利器 - SharpEventPersist
2022-9-28 10:5:17 Author: 黑白之道(查看原文) 阅读量:17 收藏

通过从事件日志中写入/读取 shellcode 来持久化。

SharpEventPersist 工具采用 4 个区分大小写的参数:

-file "C:\path\to\shellcode.bin"-instanceid 1337-source Persistence-eventlog "Key Management Service".

shellcode 转换为十六进制并写入“密钥管理服务”,事件级别设置为“信息”,源为“持久性”。

运行 SharpEventLoader 工具从事件日志中获取 shellcode 并执行它。理想情况下,这应该转换为 DLL 并在程序启动/启动时侧载。

如果未使用默认值运行,请记住更改加载程序中的事件日志名称和 instanceId。

默认值将留下以下工件:

  • 一个新的密钥将被写入名为“Persistance”的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Key Management Service。

  • 这个新的“Persistance”键将没有默认键“KmsRequests”所具有的提供程序 GUID 或 TypesSupported。这可用于构建检测。


下载地址:

https://github.com/improsec/SharpEventPersist

文章来源:系统安全运维

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650552661&idx=4&sn=23e1ccc200f1cd82322509c4a455c396&chksm=83bd5cb1b4cad5a7074b553295df08a83368493372c698827e730f567bd09b8bf386c5d44111#rd
如有侵权请联系:admin#unsafe.sh