来看下泳池派对还能绕过多少杀毒软件

今天我们将测试2年前公开的泳池派对进程注入技术目前还能绕过多少杀毒软件。

一、实验目标

我们将使用完全无法检测的cobaltstrike，加上泳池派对bof将进程注入至windows自带进程onedrive.exe中，并扫描内存，我将测试多个杀毒软件对于这一技术的检测效果。

PoolParty（泳池派对）：一组完全无法检测的滥用 Windows 线程池的进程注入技术，在2023年欧洲黑帽大会上发布。进程注入是恶意软件中常用的一种技术，用于在目标进程中执行恶意代码。这种方法使攻击者能够隐藏其在系统中的存在，获得持久性，并执行常规进程通常不允许的操作。

二、测试过程

一键编译我们的加载器，在目标机器上运行，然后使用如下命令将完全无法检测的有效载荷注入onedrive进程，最后扫描内存活动。部分杀毒软件需要白加黑进行初始访问权限操作。

beacon> PoolPartyBof 10148 /home/kali/Desktop/CobaltSrike4.9.1/payload_x64.bin 7

视频区域

卡巴斯基small office

三、测试结果

事实证明，PoolParty在携带具有间接系统调用的完全无法检测的有效载荷后可以成功注入目标进程且无法被检测，该技术对于普通杀毒软件来说时隔两年依然强大，是红队人员的必备武器。

四、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• 仅可用于已获得书面授权的目标系统测试；
• 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。