NixImports是码程一款功能强大的.NET代码程序加载工具,该工具专为恶意软件研究人员或安全分析专家设计,序加可以帮助我们对恶意软件或系统安全进行研究和分析。载工值得一提的款功是,该工具使用了API哈希和动态调用技术来规避静态分析检测。大的T代
NixImports使用了HInvoke项目来实现API-Hashing,码程并能够在运行时动态解析大多数被调用的序加函数。为了解析函数,载工HInvoke需要两个哈希,即typeHash和methodsHash。这俩哪个哥哈希代表了类型名称和方法全名,并能够在运行时让HInvoke解析整个mscorlib以找到匹配的类型和方法。
NixImports另一个有趣的特性是,它会尽可能去避免调用已知的方法,通过使用内部方法,我们可以避开一些安全工具使用的基本钩子和监控机制。
由于该工具基于纯C#开发,因此我们首先需要在本地设备上安装并配置好最新版本的Visual Studio工具环境。
接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/dr4k0nia/NixImports.git
然后打开Visual Studio,将项目导入后进行代码编译后构建即可。
当前版本的NixImports仅需要我们提供一个.NET源代码的文件路径,即可开始封装和加载任务:
NixImports.exe <filepath>
此时,工具会在当前根目录下自动生成一个名为Loader.exe的新的可执行程序,这个Loader.exe可执行文件包含了我们编码后的Payload,以及运行它所需要的其他代码。
本项目的开发与发布遵循MIT开源许可证协议。
NixImports:【GitHub传送门】
https://dr4k0nia.github.io/posts/NixImports-a-NET-loader-using-HInvoke/
https://gist.github.com/dr4k0nia/813087cee2875f5f82e37c8a731b80b0
https://dr4k0nia.github.io/posts/NixImports-a-NET-loader-using-HInvoke/#tips-for-defenders
https://github.com/dr4k0nia/yara-rules/blob/main/dotnet/msil_mal_niximports_loader.yar
本文作者:Alpha_h4ck, 转载请注明来自FreeBuf.COM
责任编辑:武晓燕 来源: FreeBuf.COM HInvoke项目函数(责任编辑:娱乐)
帅丰电器(605336.SH)拟推176.25万股限制性股票激励计划 授予价格为13.62元/股
马斯克Neuralink将首颗大脑芯片植入人体,长期目标希望让数十亿人受益
深大团队研发长余辉发光聚合物材料,或可用于防伪加密和信息安全
赛生药业(06600.HK)年度实现纯利7.5亿元 每股基本盈利约为人民币1.38元
QuestMobile:2023新上市新能源车系销量Top10 比亚迪海鸥近24万辆“遥遥领先”