[原创]PECracker：感染证书区段的PE免杀工具

发表于: 2024-8-12 23:00 3816

[原创]PECracker：感染证书区段的PE免杀工具

天堂猪0ink

2024-8-12 23:00

3816

项目地址：https://github.com/berryalen02/PECracker
要是感觉好用的话，求个star呀

前言

项目的定位：红队人员的PE对抗辅助工具，具体的对抗思路，就仰仗各位大佬的脑洞了。也欢迎提issue，丰富工具功能。

(为了更好的免杀性能，后续会酌情开源)

对于PE头的一些变形技术都比较老了，这次的学习与实践主要是某APT样本用了这保持签名有效的技术，并且支持shellcode的隐藏与识别，可以深挖的花样会很多。

利用哈希校验漏洞感染文件同时不影响签名有效性的POC，在21年就已经披露了，公开利用主要是SigFlip 这个项目。老POC是一体化的loader，我实现了分离的PE修改工具，定制化程度更高，用起来更方便。后续会持续更新深度的攻防对抗。

后续希望把对于PE文件的利用手法都整合到项目中，因此将项目命名为PECracker。

使用方法

目前实现了文件头伪装(暴力不优雅版)和证书区段数据嵌入，后续继续更新

.\PECracker.exe
 (                                         
 )\ )      (                   )           
(()/((     )\  (      )     ( /(   (  (    
 /(_))\  (((_) )(  ( /(  (  )\()) ))\ )(   
(_))((_) )\___(()\ )(_)) )\((_)\ /((_|()\  
| _ \ __((/ __|((_|(_)_ ((_) |(_|_))  ((_) 
|  _/ _| | (__| '_/ _` / _|| / // -_)| '_| 
|_| |___| \___|_| \__,_\__||_\_\\___||_|   
                                            
written by https://github.com/berryalen02/PECracker
Usage:
  PECracker.exe [command]
 
Available Commands:
  crack       针对文件头的crack
  help        Help about any command
  replace     文件头替换伪装
 
Flags:
  -h, --help   help for PECracker.exe

文件头替换

1 2	`PECracker.exe replace extract [PE` `file] [output] [flags]` `PECracker.exe replace` `import` `[HeaderFile] [target] [flags]`

证书区段数据嵌入

1	`PECracker.exe crack inject [PeFile] [output] [ShellcodeFile] [flags]`

效果

以下测试均采用最简单的msf生成的calc.bin，无混淆

图片描述
感染PE文件后不影响执行

360和wdf无检出

传了几个沙箱

TODO

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2024-8-13 13:55 被天堂猪0ink编辑，原因：

#基础知识 #HOOK/注入 #工具脚本

收藏・15

免费・2

支持

最新回复 (6)
黑白不分666 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	黑白不分666 2 楼你好博主需需要你的免杀技术可以聊一下吗？ 2024-8-16 11:00 0
fatcateatrat 雪币： 341 活跃值： (1005) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 114 粉丝 4 关注私信	fatcateatrat 3 楼这一个相当于一个shellcode的载体，保证shellcode在一个有合法签名的文件中带着；然后还是需要另外一个加载器来运行shellcode。这脑洞是真的大。 2024-8-16 13:46 0
厌倦雪币： 1441 活跃值： (1860) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 1 关注私信	厌倦 4 楼这姿势老外早就开源了，我都用几年了 2024-8-27 10:40 0
tank小王子雪币： 12339 活跃值： (9376) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 152 粉丝 1 关注私信	tank小王子 5 楼好东西，本来也想整一个呢。就是太忙，没弄~哈哈哈。感谢分享。 2024-8-27 10:46 0
天堂猪0ink 雪币： 3011 活跃值： (953) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 15 粉丝 25 关注私信	天堂猪0ink 2 6 楼厌倦这姿势老外早就开源了，我都用几年了[em_13] 哈哈是，也是学自样本，单独做一个工具方便使用 2024-8-27 14:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

天堂猪0ink

发帖

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
黑白不分666 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	黑白不分666 2 楼你好博主需需要你的免杀技术可以聊一下吗？ 2024-8-16 11:00 0
fatcateatrat 雪币： 341 活跃值： (1005) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 114 粉丝 4 关注私信	fatcateatrat 3 楼这一个相当于一个shellcode的载体，保证shellcode在一个有合法签名的文件中带着；然后还是需要另外一个加载器来运行shellcode。这脑洞是真的大。 2024-8-16 13:46 0
厌倦雪币： 1441 活跃值： (1860) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 1 关注私信	厌倦 4 楼这姿势老外早就开源了，我都用几年了 2024-8-27 10:40 0
tank小王子雪币： 12339 活跃值： (9376) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 152 粉丝 1 关注私信	tank小王子 5 楼好东西，本来也想整一个呢。就是太忙，没弄~哈哈哈。感谢分享。 2024-8-27 10:46 0
天堂猪0ink 雪币： 3011 活跃值： (953) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 15 粉丝 25 关注私信	天堂猪0ink 2 6 楼厌倦这姿势老外早就开源了，我都用几年了[em_13] 哈哈是，也是学自样本，单独做一个工具方便使用 2024-8-27 14:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复