- 13,891
- 20
- 8 Ноя 2022
Компания NVISO открыла исходный код CODASM.
Компания NVISO недавно открыла исходный код своего нового инструмента CODASM, предназначенного для кодирования произвольных данных в псевдо-ASM-инструкции и их компиляции в раздел .text двоичных файлов. Этот шаг нацелен на повышение безопасности и устойчивости данных к анализу. CODASM скрывает данные, такие как шелл-коды, в высокоэнтропийных участках бинарных файлов, делая их менее заметными для защитных механизмов.
CODASM является Python-скриптом, который генерирует легитимно выглядящий шеллкод для любых произвольных полезных нагрузок и создает заголовочный файл на языке C, который можно использовать в программах для встраивания шеллкода в бинарные файлы и его извлечения во время выполнения.
Процесс кодирования полезных нагрузок с помощью CODASM включает:
Этот инструмент является частью стремления NVISO к повышению открытости и сотрудничества в сообществе кибербезопасности, предоставляя мощные средства для анализа и защиты от угроз.
Дополнительную информацию можно найти на Для просмотра ссылки Войдиили Зарегистрируйся .
Компания NVISO недавно открыла исходный код своего нового инструмента CODASM, предназначенного для кодирования произвольных данных в псевдо-ASM-инструкции и их компиляции в раздел .text двоичных файлов. Этот шаг нацелен на повышение безопасности и устойчивости данных к анализу. CODASM скрывает данные, такие как шелл-коды, в высокоэнтропийных участках бинарных файлов, делая их менее заметными для защитных механизмов.
CODASM является Python-скриптом, который генерирует легитимно выглядящий шеллкод для любых произвольных полезных нагрузок и создает заголовочный файл на языке C, который можно использовать в программах для встраивания шеллкода в бинарные файлы и его извлечения во время выполнения.
Процесс кодирования полезных нагрузок с помощью CODASM включает:
- Генерацию валидных функций x86_64 с прологами, эпилогами и случайными инструкциями.
- Встраивание байтов полезной нагрузки в операнды инструкций (например, <code>mov eax, <4 байта полезной нагрузки></code>).
- Шифрование встроенных байтов полезной нагрузки с помощью XOR.
- Парсинг отдельных инструкций до извлечения необходимого количества байтов полезной нагрузки.
- Обнаружение инструкций, содержащих байты полезной нагрузки, их извлечение и расшифровка.
Этот инструмент является частью стремления NVISO к повышению открытости и сотрудничества в сообществе кибербезопасности, предоставляя мощные средства для анализа и защиты от угроз.
Дополнительную информацию можно найти на Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
