HitmanPro.Alert Exploit Test Tool

Loyisa

非病毒样本! 非病毒样本! 非病毒样本!
来自 HitmanPro 的漏洞测试工具，看论坛里好像没人发过就发这里了




32bit: https://dl.surfright.nl/hmpalert-test.exe
https://www.virustotal.com/gui/f ... 70cb50b257a2bb00f7a

64bit: https://dl.surfright.nl/hmpalert64-test.exe
https://www.virustotal.com/gui/f ... 26a567313d5da35ca77

Fadouse

所有测试漏洞测试S1 EDR均检出
*后台日志太多，暂时仅展出部分日志截图




Stack Pivot - Technique



Stack Exec - Technique



ROP - WinExec() - Technique



ROP - VirtualProtect() - Technique


*其余的弹出Calc基本一致，不做截图处理（其实是懒）
ROP - NTProtectVirtualMemory() - Technique
Null Page - 没跑出行为

Heap Spray 1 - Technique
Heap Spray 2 - Technique
Heap Spray  3 - Technique
Heap Spray  4 - Technique


Anti-VM - VMware - Technique(包括环境嗅探行为)
Anti-VM - Virtual PC - Technique(包括环境嗅探行为)



Load Library - Technique


URLMon - Technique


Lockdown 1&2 - Technique


Webcam test - 无法成功调用摄像头

Keyboard logger - Technique

驭龙

这东西已经过时了吧，因为测不了多步主防，只能测简单的Exploit预防，因为没有负载，很多行为主防和EP是不被触发的，也就测测大蜘蛛那种古董级的EP功能

Loyisa

驭龙 发表于 2024-12-4 12:30
这东西已经过时了吧，因为测不了多步主防，只能测简单的Exploit预防，因为没有负载，很多行为主防和EP是不 ...

我觉得也是，但是我想看看现在的 edr 或者有没有个人版杀软能不能检测这个工具的所有项目

驭龙

Loyisa 发表于 2024-12-4 12:48
我觉得也是，但是我想看看现在的 edr 们能不能检测这个工具的所有项目

十年前这工具在卡饭风靡一时，后期渐渐地就没人用它测了，因为没有负载，很多行为分析的主防都不报，只能触发大蜘蛛EP那种简单的API拦截

Raven95676

Elastic无任何告警

DisaPDB

驭龙 发表于 2024-12-4 12:30
这东西已经过时了吧，因为测不了多步主防，只能测简单的Exploit预防，因为没有负载，很多行为主防和EP是不 ...

里面有一些单行为就绝大概率恶意的战术……比如构造ROP/Syscall注入之类的
无论单多步都是应该告警的，更何况单步未必就比多步差……

驭龙

DisaPDB 发表于 2024-12-4 14:00
里面有一些单行为就绝大概率恶意的战术……比如构造ROP/Syscall注入之类的
无论单多步都是应该告警的， ...

可惜多步主防不看到有效负载，多数不报，这有什么办法呢，这种防御单API攻击还是交给windows安全中心内置的EMET吧

swizzer

这个应该早就发过而且发过不止一次

虽然我确实找不到相关的帖子了

UNknownOoo

之前好像见过一个SOPHOS版本的测试工具（？）