关于DVenom
DVenom是一款功能强大的Shellcode加密封装和加载工具,该工具专为红队研究人员设计,可以帮助红队成员通过对Shellcode执行加密封装和加载实现反病毒产品的安全检测绕过。
功能介绍
工具要求
工具部署
广大研究人员可以使用下列方式将项目源码拷贝到本地设备中,并在本地设备上部署和使用DVenom。
首先,我们需要使用下列命令将该项目源码克隆至本地:
然后切换到项目目录中:
使用go build命令完成项目代码构建:
工具使用
安装完成后,我们就可以直接使用下列命令运行DVenom了:
命令行参数
-e:指定Shellcode的加密类型,支持的类型有xor、rot、aes256和rc4;
-key:提供要使用的加密密钥;
-l:指定语言,支持的语言有cs、rs、ps1、aspx和vba;
-m:指定方法类型,支持的类型有valloc、pinject、hollow和ntinject;
-procname:提供需要注入的进程名称,默认为“explorer”;
-scfile:提供shellcode文件的路径地址;
工具使用样例
下列命令可以生成包含加密Shellcode的C#源代码:
注意,如果选择了AES256作为加密方法,工具将自动生成初始化向量IV。
工具限制
编程语言 | 支持的函数方法 | 支持的加密方法 |
C# | valloc, pinject, hollow, ntinject | xor, rot, aes256, rc4 |
Rust | pinject, hollow, ntinject | xor, rot, rc4 |
PowerShell | valloc, pinject | xor, rot |
ASPX | valloc | xor, rot |
VBA | valloc | xor, rot |
许可证协议
本项目的开发与发布遵循MIT开源许可证协议。
项目地址
DVenom:【GitHub传送门】