在Linux上如何使用DDexec隐藏运行二进制文件

关于DDexec

众所周知，我们在Linux上运行一个程序，这个程序必须以一个文件的形式存在，并而且必须能够通过文件系统层次结构并以某种方式才能够访问到它，这是execve()的工作机制。这种文件可能位于磁盘中或RAM（tmpfs、memfd）中，但我们肯定需要一个文件路径。这种机制不仅使得我们可以轻松控制Linux系统中运行的内容，而且还可以轻松检测到安全威胁或攻击者植入的恶意程序，甚至还可以阻止攻击者尝试执行他们的任何工具，比如说不允许未经授权的用户将可执行文件放在任何地方。但是，DDexec的出现改变了这种情况：

Linux 系统为我们提供了非常多用于分析二进制文件的工具，不管你在 Linux 下从事的是何种工作，知道这些工具也会让你对你的系统更加了解。

将ddexec.sh注入到需要运行的Base64源代码中，注意不要有换行符出现。脚本的参数也就是程序的运行参数，以“argv[0]”开始。

下面给出的是一个使用样例：

base64 -w0 /bin/ls | bash ddexec.sh /bin/ls -lA

该项目中还为我们提供了一个ddsc.sh脚本，此脚本允许我们直接运行二进制代码，下面给出的是一段“Hello world”的Shellcode：

bash ddsc.sh < <(xxd -ps -r <<< "4831c0fec089c7488d3510000000ba0c0000000f054831c089c7b03c0f0548656c6c6f20776f726c640a00")

这种方法同样适用于Meterpreter，该工具目前已经在Arch、Debian和Debian平台上进行过测试，支持的Shell包括Bash、ash和bsh，并且支持x86_64和aarch64（arm64）等架构。