简介

安全公司 Praetorian发布了GoffLoader,这是一种旨在简化 BOF 文件和非托管 Cobalt Strike PE 文件直接在内存中执行的工具,而无需将任何文件写入磁盘。

GoffLoader 是一款完全用 Go 实现的 COFF 和 PE 加载器,它使安全专业人员能够直接在内存中执行 BOF(Beacon 对象文件)和非托管 Cobalt Strike PE 文件。这种方法无需将文件写入磁盘,使其成为绕过传统安全防御的有力工具。

通过将 C/C++ 功能无缝集成到基于 Go 的工具中,GoffLoader 开启了广泛的安全功能。这种简化的方法消除了使用 CGO(Go 的 C 语言绑定)的复杂性,同时提供了对丰富的安全代码库的访问。

能够在内存中加载和执行代码而不在磁盘上留下痕迹,这在绕过静态签名检测方面具有显著优势。开发人员已成功演示了此功能,方法是运行嵌入式版本的 Mimikatz(一种著名的凭证收集工具),而无需采用复杂的规避技术。

GoffLoader 的用户友好设计使其易于与现有 Go 项目集成。go:embed 指令允许无缝加载 BOF 或 PE 文件,GitHub 存储库中提供的示例为其使用提供了清晰的指导。

尽管 GoffLoader 已经是一款功能强大的工具,但其开发仍在进行中。未来的更新有望支持 32 位系统、增强 PE 执行的灵活性以及更广泛地实现 Beacon API。

项目地址

https://github.com/praetorian-inc/goffloader

直链下载地址

https://lp.lmboke.com/goffloader-main.zip

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。