帮酷LOGO
  • 显示原文与译文双语对照的内容
A memory scanning evasion technique

  • 源代码名称:gargoyle
  • 源代码网址:http://www.github.com/JLospinoso/gargoyle
  • gargoyle源代码文档
  • gargoyle源代码下载
  • Git URL:
    git://www.github.com/JLospinoso/gargoyle.git
  • Git Clone代码到本地:
    git clone http://www.github.com/JLospinoso/gargoyle
  • Subversion代码到本地:
    $ svn co --depth empty http://www.github.com/JLospinoso/gargoyle
    Checked out revision 1.
    $ cd repo
    $ svn up trunk
  • gargoyle title

    gargoyle infographic

    gargoyle

    gargoyle 只针对 32位 Windows ( Windows 上的64位 Windows 很好) 实现。 你必须有以下安装:

    • Visual Studio: 2017社区被测试,但它可能适用于其他版本。
    • 测试 Netwide汇编程序 v2.12.02 x64,但它可能适用于其他版本。 确保 nasm.exe 在你的路上。

    克隆 gargoyle:

    git clone https://github.com/JLospinoso/gargoyle.git

    打开 Gargoyle.sln,生成和运行。 在 main.cpp 中有一些用于配置以下三个组件的线束代码:

    • ( 堆缓冲区,堆栈和配置),堆,堆和配置( 堆上
    • 接收ROP小工具/栈蹦床的独立代码( PIC ),并运行任意码
    • 如果你有 mshtml.dll,你会把它载入内存并使用它。 如果它不可用,你必须告诉 gargoyle 在堆上分配自己的( 3-byte ) ROP小部件:
    // main.cppauto use_mshtml{ true };auto gadget_memory = get_gadget(use_mshtml, gadget_pic_path);

    每 15秒gargoyle就会弹出一个消息框。 当单击确定时,for设置尾部调用以标记自身非可以执行文件并等待计时器。 为了好玩,使用 VMMap工具来检查什么时候 gargoyle 是可执行的。 如果消息框处于活动状态,则 gargoyle 将被执行。 如果不是,gargoyle 不应该是可以执行的。 PIC的地址被打印到 stdout,就在线束进入图片之前。

    更多信息

    请参阅 lospi.net 提供的博客文章了解更多信息。

    你也可以随时跳到 gitter: Join the chat at https://gitter.im/grgyl/Lobby




    Copyright © 2011 HelpLib All rights reserved.    知识分享协议 京ICP备05059198号-3  |  如果智培  |  酷兔英语