ZipExec从密码保护zip执行exe以绕过EDR的独特技术

ZipExec从密码保护zip执行exe以绕过EDR的独特技术

ZipExec简介

ZipExec 是一种概念验证 (POC) 工具,用于将基于二进制的工具包装到受密码保护的 zip 文件中。这个 zip 文件然后被 base64 编码成一个在磁盘上重建的字符串。然后将此编码字符串加载到 JScript 文件中,该文件在执行时会在磁盘上重建受密码保护的 zip 文件并执行它。这是通过使用 COM 对象通过生成的 JScript 加载程序访问 Windows 中基于 GUI 的函数以编程方式完成的,在受密码保护的 zip 中执行加载程序,而无需先解压缩它。通过密码保护 zip 文件,它可以保护二进制文件免受 EDR 和基于磁盘或反恶意软件扫描机制的影响。

安装方法

与往常一样,第一步是克隆 repo。在编译 ZipExec 之前,您需要安装依赖项。要安装它们,请运行以下命令:

go get github.com/yeka/zip

然后构建它

go build ZipExec.go

或者

go get github.com/Tylous/ZipExec

或者

直接下载压缩包-解压-打开cmd-执行命令,如下图所示:

ZipExec从密码保护zip执行exe以绕过EDR的独特技术

帮助信息

./ZipExec -h

__________.__      ___________                     
\____    /|__|_____\_   _____/__  ___ ____   ____  
  /     / |  \____ \|    __)_\  \/  // __ \_/ ___\ 
 /     /_ |  |  |_> >        \>    <\  ___/\  \___ 
/_______ \|__|   __/_______  /__/\_ \\___  >\___  >
        \/   |__|          \/      \/    \/     \/ 
                (@Tyl0us)

用法 ./ZipExec:
  -I 字符串
        包含zip格式的二进制文件的路径。
  -O 字符串
        输出文件名(例如loader.js)
  -sandbox
        使用IsDomainedJoined启用沙箱绕过。

ZipExec下载地址:

①GitHub:

github.com/Tylous/ZipExec.zip

②云中转网盘:
yunzhongzhuan.com/#sharefile=DXN325x4_15593
解压密码:www.ddosi.org

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注