DbgNexum — injeção de shellcode usando a API de Depuração do Windows

🧩 DbgNexum — injeção de shellcode usando a API de Depuração do Windows

Uma ferramenta de prova de conceito para injetar shellcode em um processo do Windows usando a API de Depuração e memória compartilhada. Em vez de escrever diretamente na memória do processo alvo, ele manipula o contexto da thread e lida com exceções, o que pode ajudar a evitar a detecção por mecanismos comuns de detecção de injeção.

📍 Usa CreateFileMapping e MapViewOfFile em vez de WriteProcessMemory / VirtualAllocEx 📍 Não chama ReadProcessMemory; em vez disso, extrai dados do contexto da thread 📍Controla a execução via um breakpoint de hardware e uma cadeia de chamadas WinAPI dentro do processo alvo 📍Funciona com shellcode codificado em XOR embutido via shellcode.h

Comparado a injetores tradicionais (ex.: ProcessHollowing ou EarlyBird APC Injection), o DbgNexum evita gravações diretas de memória, o que pode reduzir a probabilidade de detecção, mas também requer privilégios de depuração e uma orquestração de execução mais complexa.

📎 PoC: https://github.com/dis0rder0x00/DbgNexum

💬 Discutir