Webcast: 使用 GoLang 执行 Shellcode

在本 Black Hills 信息安全（BHIS）网络研讨会中，我们探讨了使用 GoLang 编写嵌入 Shellcode 的恶意软件。GoLang 是 Google 开发的现代编程语言，作为 C/C++的继任者，它具有跨平台、高性能、多线程特性，并且与 C/C++不同，包含了垃圾回收机制！与依赖公共语言运行时且易于反编译的.NET C#相比，GoLang 的优势在于编译为本地机器码。我们探讨了如何在同一进程线程空间中用 GoLang 执行 Windows Shellcode，并研究了一种进程注入方法。

如果你是渗透测试人员，希望扩展恶意软件编写技能，学习一点 Go(lang)将让你受益匪浅！

录制时间 • 2021-05-20

加入 BHIS 社区 Discord: https://discord.gg/bhis

时间线内容：

00:00 – 专题演示开始：使用 GoLang 执行 Shellcode

01:39 – 介绍 Joff Thyer

02:16 – 什么是 GoLang？

04:14 – GoLang 的各个方面

07:43 – C#还是 Go？

09:24 – Go 命令行

10:57 – GoLang 类型安全

11:31 – 什么是 Shellcode？

12:51 – Shellcode 的来源

14:50 – 在 Windows 上执行 Shellcode

16:08 – GoLang "unsafe"包

16:55 – Go "syscall"包正在按平台分化

17:50 – GoLang "windows"包

18:22 – "x/sys/windows"包

20:29 – 深入查看系统调用

22:26 – 调用 Kernel32.dll 中的函数

23:14 – GoLang：Shellcode 的字节数组

24:35 – 方法 1：直接系统调用

29:32 – 题外话：防病毒和 EDR 规避的悖论

32:36 – GoLang 中的单字节 XOR 函数

34:02 – 方法 2：在同一进程中创建线程

35:50 – GoLang Windows 本地 DLL

36:57 – 构建本地 DLL 的步骤

41:18 – 使用本地 DLL 进行"就地取材"攻击

44:05 – 演示：运行 Shellcode

46:42 – 方法 3：进程注入

49:07 – 演示 - 远程进程注入

50:10 – 额外资源

50:51 – 演示 - 远程进程注入继续

52:54 – 问答环节

54:39 – 链接：攻击者模拟和 C2 - https://www.antisyphontraining.com/enterprise-attacker-emulation-and-c2-implant-development-w-joff-thyer/

你可以直接从 Joff 本人的课程中了解更多：

• 正则表达式，你的新生活方式

• 企业攻击者模拟和 C2 植入开发

• Python 入门提供实时/虚拟和点播方式！更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

• 

  办公AI智能小助手