shellcode持久化工具 -- SharpEventPersist

0x01 工具介绍

通过从事件日志中写入/读取 shellcode 来实现持久化。

0x02 安装与使用

harpEventPersist 工具采用 4 个区分大小写的参数：

-file "C:\path\to\shellcode.bin"
-instanceid 1337
-source Persistence
-eventlog "Key Management Service".

shellcode 转换为十六进制并写入“密钥管理服务”，事件级别设置为“信息”，源为“持久性”。

运行 SharpEventLoader 工具从事件日志中获取 shellcode 并执行它。理想情况下，这应该转换为 DLL 并在程序启动/启动时侧载。

如果未使用默认值运行，请记住更改加载程序中的事件日志名称和 instanceId。

默认值将留下以下工件：

1、一个新的密钥将被写入名为“Persistance”的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Key Management Service。
2、这个新的“Persistance”键将没有默认键“KmsRequests”所具有的提供程序 GUID 或 TypesSupported。这可用于构建检测。

0x03 项目链接下载

https://github.com/improsec/SharpEventPersist