1.NET 程序集
像 Java 是由 JVM 托管的,.NET 程序集(比如C_Sharp.exe) 都是由 CLR 托管的
硬盘加载
从硬盘中读取加载到内存
通过三个接口可以启动 CLR 来对 .NET 程序集 进行硬盘加载
Program.cs:
x64.cpp:
Copy
#include <iostream>
#include <metahost.h>
#pragma comment(lib, "mscoree.lib")
int main() {
// 创建 ICLRMetaHost对象
ICLRMetaHost* metaHost = NULL;
CLRCreateInstance(CLSID_CLRMetaHost, IID_ICLRMetaHost, (LPVOID*)&metaHost);
// 获取枚举器
IEnumUnknown* runtime = NULL;
metaHost->EnumerateInstalledRuntimes(&runtime);
// 枚举安装的CLR
IUnknown* enumRuntime = NULL;
ICLRRuntimeInfo* runtimeInfo = NULL;
DWORD bytes = 2048;
LPWSTR frameworkName = (LPWSTR)LocalAlloc(LPTR, 2048);
while (runtime->Next(1, &enumRuntime, 0) == S_OK) {
if (enumRuntime->QueryInterface<ICLRRuntimeInfo>(&runtimeInfo) == S_OK) {
if (runtimeInfo != NULL) {
runtimeInfo->GetVersionString(frameworkName, &bytes);
}
}
}
ICLRRuntimeHost* runtimeHost = NULL;
runtimeInfo->GetInterface(CLSID_CLRRuntimeHost, IID_ICLRRuntimeHost, (LPVOID*)&runtimeHost);
runtimeHost->Start(); // 启动CLR
runtimeHost->ExecuteInDefaultAppDomain(L"C_Sharp.exe", L"C_Sharp.Program", L"print", L"hacker", NULL);
return 0;
}内存加载
直接从内存加载,不需要从硬盘读取
CS 新启进程,内存加载 .NET 程序集:
2.ETW
一种事件追踪机制,会检测 .NET 程序集
检测示例
Program.cs:
CS 当前进程,内存加载 .NET 程序集:
inject-assembly插件,GitHub - kyleavery/inject-assembly: Inject .NET assemblies into an existing process
此时用 Process Hacker 可以看到多出来一些 .NET 信息
还可以看到启动了CLR(clr.dll)
绕过
CLR 会通过 ntdll 的 EtwEventWrite函数 公开信息
BOF-patchit插件,GitHub - ScriptIdiot/BOF-patchit: An all-in-one Cobalt Strike BOF to patch, check and revert AMSI and ETW for x64 process. Both syscalls and dynamic resolve versions are available.
再查看 .NET 信息,发现获取不到了
原理
对木马进行调试
使用插件前的 EtwEventWrite函数
使用插件后的 EtwEventWrite函数
发现开头变成了ret,使函数无法被正常调用
至于后面为什么变成 mov ebx, esp,看硬编码就知道了
