Mshikaki：能够绕过 AMSI 的 shellcode 注入工具

概述

Mshikaki是一种 shellcode 注入工具，旨在绕过 AMSI（反恶意软件扫描接口）。它利用QueueUserAPC()注入技术并提供对 XOR 加密的支持，使其成为安全研究人员和渗透测试人员的强大工具。

目录

• 特征
• 安装
• 用法
• 技术细节
• 贡献
• 执照

特征

• 绕过 AMSI：Mshikaki 能够绕过反恶意软件扫描接口，从而允许秘密执行 shellcode。
• QueueUserAPC() 注入：该技术用于将 shellcode 注入正在运行的进程中，提供执行任意代码的方法。
• XOR 加密支持：通过 XOR 加密来增强 shellcode 的隐蔽性，使检测更具挑战性。

安装

1. 克隆存储库：

git clone https://github.com/trevorsaudi/Mshikaki.git

2. 编译cpp源码：

• 使用 cl.exe 在 Windows 上编译

cl /EHsc Mshikaki.cpp /link /SUBSYSTEM:CONSOLE     

用法

• 准备您的 shellcode，并根据需要使用 XOR 对其进行加密。
• shellcode 文件应包含十六进制格式的 shellcode，如下所示。

• 使用必要的参数执行该工具：

Mshikaki.exe -i <path_to_shellcode> 

Mshikaki.exe -i <path_to_shellcode> -p <process_name>

• 加密 shellcode 的示例

技术细节

• 语言：该工具是用 C++ 编写的。
• 注入技术： Mshikaki 使用 QueueUserAPC() 函数（一个本机 Windows API）进行 shellcode 注入。
• 加密：该工具支持 XOR 加密来混淆 shellcode，使反恶意软件解决方案更难以检测。

项目地址

Mshikaki：【GitHub】