Webcast: 使用GoLang执行Shellcode - Black Hills信息安全公司

在本Black Hills信息安全（BHIS）网络研讨会中，我们探讨了使用GoLang编写嵌入Shellcode的恶意软件。GoLang是Google开发的现代编程语言，作为C/C++的继任者，它具有多平台、高性能、多线程的特点，并且与C/C++不同，它包含垃圾回收机制！与依赖公共语言运行时且易于逆向的.NET C#相比，GoLang具有编译成本地机器代码的优势。我们探讨了如何在相同进程线程空间中用GoLang执行Windows Shellcode，并进一步研究了一种进程注入方法。

如果您是希望扩展恶意软件编写技能的渗透测试人员，学习一点Go(lang)将让您走得更远！

录制时间 • 2021-05-20
加入BHIS社区Discord: https://discord.gg/bhis

时间线内容：
00:00 – 专题演示开始：使用GoLang执行Shellcode
01:39 – 认识Joff Thyer
02:16 – 什么是GoLang？
04:14 – GoLang的各个方面
07:43 – C#还是Go？
09:24 – Go命令行
10:57 – GoLang类型安全
11:31 – 什么是Shellcode？
12:51 – Shellcode的来源
14:50 – 在Windows上执行Shellcode
16:08 – GoLang “unsafe"包
16:55 – Go “syscall"包正变得按平台区分
17:50 – GoLang “windows"包
18:22 – “x/sys/windows"包
20:29 – 深入查看系统调用
22:26 – 调用Kernel32.dll中的函数
23:14 – GoLang：Shellcode的字节数组
24:35 – 方法1：直接系统调用
29:32 – 题外话：反病毒和EDR规避的悖论
32:36 – GoLang中的单字节XOR函数
34:02 – 方法2：在同一进程中创建线程
35:50 – GoLang Windows本地DLL
36:57 – 构建本地DLL的步骤
41:18 – 使用本地DLL进行"就地取材"攻击
44:05 – 演示：运行Shellcode
46:42 – 方法3：进程注入
49:07 – 演示 - 远程进程注入
50:10 – 额外资源
50:51 – 演示 - 远程进程注入继续
52:54 – 问答环节
54:39 – 链接：攻击者模拟和C2 - https://www.antisyphontraining.com/enterprise-attacker-emulation-and-c2-implant-development-w-joff-thyer/

您可以直接从Joff的课程中了解更多：

• 正则表达式，您的新生活方式
• 企业攻击者模拟和C2植入开发
• Python入门 提供实时/虚拟和点播形式！