免责声明

该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。

安全公司 Praetorian发布了GoffLoader，这是一种旨在简化 BOF 文件和非托管 Cobalt Strike PE 文件直接在内存中执行的工具，而无需将任何文件写入磁盘。

GoffLoader 是一款完全用 Go 实现的 COFF 和 PE 加载器，它使安全专业人员能够直接在内存中执行 BOF（Beacon 对象文件）和非托管 Cobalt Strike PE 文件。这种方法无需将文件写入磁盘，使其成为绕过传统安全防御的有力工具。

通过将 C/C++ 功能无缝集成到基于 Go 的工具中，GoffLoader 开启了广泛的安全功能。这种简化的方法消除了使用 CGO（Go 的 C 语言绑定）的复杂性，同时提供了对丰富的安全代码库的访问。

能够在内存中加载和执行代码而不在磁盘上留下痕迹，这在绕过静态签名检测方面具有显著优势。开发人员已成功演示了此功能，方法是运行嵌入式版本的 Mimikatz（一种著名的凭证收集工具），而无需采用复杂的规避技术。

GoffLoader 的用户友好设计使其易于与现有 Go 项目集成。go:embed 指令允许无缝加载 BOF 或 PE 文件，GitHub 存储库中提供的示例为其使用提供了清晰的指导。
尽管 GoffLoader 已经是一款功能强大的工具，但其开发仍在进行中。未来的更新有望支持 32 位系统、增强 PE 执行的灵活性以及更广泛地实现 Beacon API。

项目地址

https://github.com/praetorian-inc/goffloader

原创 Hack分享吧