当前位置:首页网络安全Monomorph:一款功能强大的MD5单态Shellcode封装工具

Monomorph:一款功能强大的MD5单态Shellcode封装工具

关于Monomorph

Monomorph:一款功能强大的MD5单态Shellcode封装工具

Monomorph是一款功能强大的MD5单态Shellcode封装工具,在该工具的帮助下,广大研究人员可以轻松将所有的Payload都修改为相同的MD5哈希。

在很多情况下,研究人员通常使用“碰撞”的形式来判断目标代码的“好”与“坏”,但Monomorph的出现就是为了证明之前的这种方法已经不再可行。因为如果仍然坚持使用MD5来引用文件样本的话,一旦使用了Monomorph,那么最终的分析结果将会毫无意义。因为所有的Payload或代码文件都将拥有相同的MD5哈希。

工具运行机制

针对每一个需要编码的比特,我们都会使用FastColl来预先计算一个MD5冲突块。每一次冲突都会给我们返回一个冲突块对,这样我们就可以在不改变整个MD5哈希的情况下来交换这些冲突块。

如需对4KB数据进行编码,我们将需要生成4*1024*8个冲突块(这需要几个小时),并在最终文件中占用4MB的空间。

为了加快速度,我们对FastColl进行了一些小的调整,使其在实践中更快,使其能够并行运行。

由于本工具已经完成了预计算,因此我们可以立即对Payload进行重新配置,而交换预先计算的块状态是使用Ange Albertini实现的技术来完成的。

工具下载

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/DavidBuchanan314/monomorph.git

工具使用

我们可以将高达4KB的压缩Shellcode封装成可执行的二进制文件,速度会非常快,而且输出文件将始终具有相同的MD5哈希:

3cebbe60d91ce760409bbe513593e401

当前版本的Monomorph仅支持在Linux x86-64设备上运行,下面给出的是该工具的一个简单使用样例:

$ python3 monomorph.py bin/monomorph.linux.x86-64.benign bin/monomorph.linux.x86-64.meterpreter sample_payloads/bin/linux.x64.meterpreter.bind_tcp.bin

是否可检测?

可能很多研究人员会想问,这种方式处理的Payload以及MD5哈希是否可以被检测到?

没错,它确实可以被检测到,我们可以使用detectcoll工具来检测碰撞块。

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Monomorph:【GitHub传送门

温馨提示:

文章标题:Monomorph:一款功能强大的MD5单态Shellcode封装工具

文章链接:https://www.cutrui.cn/965.html

更新时间:2023年04月01日

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
网络安全黑客工具黑客技术

SQLiDetector:一款功能强大的SQL注入漏洞检测工具

2023-4-1 15:00:37

网络安全黑客工具

Cobalt strike 4.8 by cracked

2023-4-16 21:35:44

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

你有新的私信

请务必要查看您的私信哟~~