shellcode持久化工具 -- SharpEventPersist

0x01 工具介紹

通過從事件日志中寫入/讀取 shellcode 來實現持久化。

0x02 安裝與使用

harpEventPersist 工具采用 4 個區分大小寫的參數：

-file "C:\path\to\shellcode.bin"
-instanceid 1337
-source Persistence
-eventlog "Key Management Service".

shellcode 轉換為十六進制并寫入“密鑰管理服務”，事件級別設置為“信息”，源為“持久性”。

運行 SharpEventLoader 工具從事件日志中獲取 shellcode 并執行它。理想情況下，這應該轉換為 DLL 并在程序啟動/啟動時側載。

如果未使用默認值運行，請記住更改加載程序中的事件日志名稱和 instanceId。

默認值將留下以下工件：

1、一個新的密鑰將被寫入名為“Persistance”的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Key Management Service。
2、這個新的“Persistance”鍵將沒有默認鍵“KmsRequests”所具有的提供程序 GUID 或 TypesSupported。這可用于構建檢測。

0x03 項目鏈接下載

https://github.com/improsec/SharpEventPersist