laZzzy是一款功能强大的Shellcode加载器,其设计采用了多种开源代码库,为广大研究人员提供了优越的演示平台,展示了恶意软件所使用的各种常见代码执行技术。
功能及特性
- 直接系统调用和本地函数调用(Nt):* laZzzy支持绝大多数本地函数,直接系统调用,为研究人员提供更广泛的演示场景。
- IAT(导入地址表)绕过: 克服了导入地址表的限制,提高Shellcode的执行效率。
- Payload加密: 支持AES和异或加密,通过随机生成密钥和自动填充Payload(\x90),在内存中逐字节解密Payload,增加了恶意软件的难以检测性。
- 字符串异或加密: 进一步加强了Shellcode的安全性,防止恶意软件被简单地静态分析。
- PPID欺骗: 通过伪装父进程ID,使得Shellcode更难以被监测和阻止。
- 屏蔽非微软签名的DLL: 提高了Shellcode的兼容性和适用性。
- 克隆PE图标和属性: 可选功能,增加了混淆性,使得Shellcode更难以被发现。
- 使用伪造的证书进行代码签名: 可选功能,提升了Shellcode的信任度。
安装
在装有Visual Studio和以下组件的Windows机器上,可通过Visual Studio Installer中的单个组件安装C++ Clang Compiler for Windows和C++ Clang-cl for build tools。
图片:
下载及安装模块:
git clone https://github.com/capt-meelo/laZzzy.git python3 -m pip install -r requirements.txt 运行执行builder.py即可。
(venv) PS C:\逍遥子大表哥\laZzzy> python3 .\builder.py -h
支持的Shellcode执行技术
- Early-bird APC队列注入
- 线程劫持
- KernelCallbackTable
- 线程挂起
- LineDDA回调
- EnumSystemGeoID回调
- FLS回调
- SetTimer
- 剪贴板
使用说明
builder.py
提供了丰富的选项,包括指定路径、密码、Shellcode执行方法等。通过运行 python3 .\builder.py -h
可查看详细的使用说明。
复制usage: builder.py [-h] -s -p -m [-tp] [-sp] [-pp] [-b] [-d]
文章末尾的ASCII艺术和作者信息也提供了更丰富的展示效果,为读者提供更好的阅读体验。
© 版权声明
THE END
暂无评论内容