freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

NixImports:一款功能强大的.NET代码程序加载工具
2023-09-20 22:27:24

关于NixImports

NixImports是一款功能强大的.NET代码程序加载工具,该工具专为恶意软件研究人员或安全分析专家设计,可以帮助我们对恶意软件或系统安全进行研究和分析。值得一提的是,该工具使用了API哈希和动态调用技术来规避静态分析检测。

工具运行机制

NixImports使用了HInvoke项目来实现API-Hashing,并能够在运行时动态解析大多数被调用的函数。为了解析函数,HInvoke需要两个哈希,即typeHash和methodsHash。这俩哪个哥哈希代表了类型名称和方法全名,并能够在运行时让HInvoke解析整个mscorlib以找到匹配的类型和方法。

NixImports另一个有趣的特性是,它会尽可能去避免调用已知的方法,通过使用内部方法,我们可以避开一些安全工具使用的基本钩子和监控机制。

工具下载

由于该工具基于纯C#开发,因此我们首先需要在本地设备上安装并配置好最新版本的Visual Studio工具环境。

接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/dr4k0nia/NixImports.git

然后打开Visual Studio,将项目导入后进行代码编译后构建即可。

工具使用

当前版本的NixImports仅需要我们提供一个.NET源代码的文件路径,即可开始封装和加载任务:

NixImports.exe <filepath>

此时,工具会在当前根目录下自动生成一个名为Loader.exe的新的可执行程序,这个Loader.exe可执行文件包含了我们编码后的Payload,以及运行它所需要的其他代码。

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

NixImports:【GitHub传送门

参考资料

https://dr4k0nia.github.io/posts/NixImports-a-NET-loader-using-HInvoke/

https://gist.github.com/dr4k0nia/813087cee2875f5f82e37c8a731b80b0

https://dr4k0nia.github.io/posts/NixImports-a-NET-loader-using-HInvoke/#tips-for-defenders

https://github.com/dr4k0nia/yara-rules/blob/main/dotnet/msil_mal_niximports_loader.yar

# .Net # 代码安全 # 加载器 # .NET恶意软件 # 规避技术
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录