FunctionStomping

这是一种用于弹壳注入的全新技术，可逃避AV和EDRS。该技术的灵感来自模块踩踏，并且具有一些相似之处。至于这个日期（23-01-2022）也没有找到Hollows-Hunter。

该技术的最大优点是它并没有覆盖整个模块或PE，而只有一个功能，而目标过程仍然可以使用目标模块中的任何其他功能。

缺点是它不能适用于野外的每个功能（但对大多数功能都可以使用），确切的解释在我的博客中：好，坏和踩踏的功能。

注意：如果签名是msfvenom/metasploit的签名，AV可能会标记这一点！您只需要更改外壳或对其进行加密即可。

更新：与众不同，这不是第一个可用的POC，而Rastamouse则写了一篇博客文章，在C＃中是类似的内容。

您要么将您的程序的标题包括在内：

# include " functionstomping.hpp "

int main () {
    // Just get the pid in any way and pass it to the function.
    DWORD pid = 3110 ;
    FunctionStomping (pid);
    return 0 ;
}

或使用RUST程序：

 cd functionstomping
cargo b
functionstomping.exe < pid >

运行此程序后，您必须从远程进程调用功能！ （如果使用默认函数CreateFile，则必须从远程进程调用它！）。

当前，要运行的外壳码只是弹出一个计算器，但是您需要做的就是用shellCode替换unsigned char shellcode[] 。我使用C ++ 17和VS2019使用C ++标头和Rust版本2021编译程序来编译RUST程序（您可以在cargo.toml中看到依赖项）。

我对您的计算机 /程序造成的任何损害作为此项目的原因概不负责。我很乐意接受贡献，提出请求，我会审查它！

模块

掩盖cyberark的恶意记忆

Rastamouse的版本