freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

SuperdEye:一款基于纯Go实现的间接系统调用执行工具

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

SuperdEye:一款基于纯Go实现的间接系统调用执行工具
Alpha_h4ck 2025-01-14 23:17:52 85618
所属地 广西

关于SuperdEye

SuperdEye是一款基于纯Go实现的间接系统调用执行工具,该工具是TartarusGate 的修订版,可以利用Go来实现TartarusGate 方法进行间接系统调用。

该工具的目标是为了扫描挂钩的NTDLL并检索Syscall编号,然后使用它来执行间接系统调用,从而允许绕过基于函数钩子的AV/EDR。

工具功能

该工具将扫描已挂钩的 NTDLL。一旦找到目标函数,如果该函数被 AV 或 EDR 挂钩,将扫描上下相邻函数,直到找到干净的系统调用。这将允许计算目标函数的 ssn。一旦找到 ssn,就会构建一个间接系统调用。

工具运行原理如下图所示:

工具要求

Golang

工具安装

由于该工具基于Go开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go语言环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/almounah/superdeye.git

工具使用

该工具的使用非常简单,我们只需要直接导入包并使用即可。

SuperdEye 包公开了SuperSyscall,并可直接将其用于执行间接系统调用:

import (

"fmt"

"unsafe"

 

"github.com/almounah/superdeye"

)

...

 

NTSTATUS, err = superdeye.SuperdSyscall("NtCreateThreadEx", uintptr(unsafe.Pointer(&hThread)), uintptr(0x1FFFFF), uintptr(0), handleProcess, pBaseAddress, uintptr(0), uintptr(0), uintptr(0), uintptr(0), uintptr(0), uintptr(0))

if err != nil {

        fmt.Println("Syscall was not executed... Likely the Syscall was not found or a bug...")

fmt.Println(err.Error())

}

fmt.Println("Syscall NtCreateThreadEx Made with NTSTATUS ", NTSTATUS)

为了更好的可用性,一些系统调用已经跟官方包golang.org/x/sys/windows封装到一起以实现更好的兼容性:

import (

"fmt"

"unsafe"

 

"github.com/almounah/superdeye"

"golang.org/x/sys/windows"

)

...

pBaseAddress, NTSTATUS, err := superdeye.NtAllocateVirtualMemory(windows.Handle(handleProcess), uintptr(0), uintptr(len(payloadClearText)), windows.MEM_COMMIT|windows.MEM_RESERVE, windows.PAGE_EXECUTE_READWRITE)

if err != nil {

        fmt.Println("Syscall was not executed... Likely the Syscall was not found or a bug...")

fmt.Println(err.Error())

}

fmt.Println("Syscall NtAllocateVirtualMemory Made with NTSTATUS ", NTSTATUS)

...

未来将有更多 Syscalls 与官方 Windows 包兼容(欢迎贡献superdwrapper.go的代码)。

工具运行效果

项目地址

SuperdEye:【GitHub传送门

参考资料

https://github.com/C-Sto/BananaPhone/tree/master

https://github.com/f1zm0/acheron

https://myanimelist.net/anime/39535/Mushoku_Tensei__Isekai_Ittara_Honki_Dasu

# 系统安全 # 钩子 # go语言 # 系统调用 # syscall
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 Alpha_h4ck 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
CVE-2025-0282漏洞分析 原创
CVE-2025-0282漏洞分析

漏洞

以下分析基于反编译的代码,代码来源于运行版本为 22.7R2.3 的 Ivanti Connect Secure 设备。

chosenny

84398围观  · 16喜欢 2025-01-22

FileUpload1 反序列化漏洞(1) 原创
FileUpload1 反序列化漏洞(1)

Web安全

从readobject开始分析,发现核心写入文件的是在output.write(this.cachedContent); ,意味着this....

Hie2100

24927围观 2025-01-21

探秘 Web 认证机制:从基础到 JWT攻防实战 原创
付费
探秘 Web 认证机制:从基础到 JWT攻防实战

Web安全

在Web安全领域,认证机制看似简单,实则隐藏着复杂的风险与挑战。本文将介绍常见认证机制,重点分析 JWT 的原理、攻击方式及防范策略。

whoami_cat

177330围观  · 5收藏  · 42喜欢 2025-01-21

新的UEFI安全启动漏洞可能允许攻击者加载恶意Bootkit
新的UEFI安全启动漏洞可能允许攻击者加载恶意Bootkit

资讯

新发现的漏洞CVE-2024-7344被认定为UEFI安全启动机制中的一个严重缺陷,可能会影响大多数基于UEFI的系统。

跳舞的花栗鼠

147628围观  · 1收藏 2025-01-17

Traceeshark:一款基于Wireshark的Linux运行时安全监控工具
Traceeshark:一款基于Wireshark的Linux运行时安全监控工具

工具

Traceeshark是一款基于Wireshark的Linux运行时安全监控工具,该工具可以帮助广大研究人员执行Linux 运行时安全监控和...

Alpha_h4ck

92817围观  · 2收藏 2025-01-17

Alpha_h4ck LV.10
好好学习,天天向上
  • 2359 文章数
  • 1023 关注者
Tetragon:一款基于eBPF的运行时环境安全监控工具
2025-01-21
DroneXtract:一款针对无人机的网络安全数字取证工具
2025-01-21
CNAPPgoat:一款针对云环境的安全实践靶场
2025-01-21
文章目录
关于SuperdEye
    工具功能
      工具要求
        工具安装
          工具使用
            工具运行效果
              项目地址
                参考资料