免杀tip3

写在前面:

前两篇文章本着想分享技术、共同交流的目的来与大家分享,无奈,后台收到了大量的diss,如技术过旧、绕不过360等,对于这些东西,我只想引用90社区的话大体如下,技术无论高低,分享都是好的,总是有人需要的

我们不是没有能过360的免杀,比如我们自用的ps混淆脚本依旧vt可以0杀。

只是所有都需要一个过程,本来是想以系列文章的方式与大家交流、分享,没想到会是这样。故本文为本系列的最后一篇。

本文介绍c#的系统调用来绕过AV。

以进程注入为例,核心代码如下:

调试得知,调用的api为NtCreateThreadEx,直接调用。

类似代码如下:

 NtCreateThreadEx(&ThreadHandle, 0x1FFFFF, NULL, ProcessHandle, (LPTHREAD_START_ROUTINE)LoadLibraryAddress, DllFullPathBufferData, FALSE, NULL, NULL, NULL, NULL);

根据自身去进行修改。

除此之外将其改为.asm调用也可。

.code
   NtCreateThreadEx PROC
    mov r10,rcx
    mov eax,00A5h
    syscall
    ret
   NtCreateThreadEx ENDP
end

然后编译文件,并使用sign进行签名。

最后vt的查杀如下:

virscan查杀结果如下:

测试360、火绒可过,国外未测试。

本文分享自微信公众号 - 鸿鹄实验室(gh_a2210090ba3f),作者:鸿鹄实验室a

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-08-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Python绘制气象实用地图[Code+Data](续)

    上一期,对Python绘制气象实用地图做了比较详细的介绍,尽管已经能够满足部分需求了,但是,在实际的应用需求中,可能还是别的需求,那么,今天就手把手教大家如何绘...

    zhangqibot
  • 远控免杀专题(7)-Shellter免杀(VT免杀率7/69)

    1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

    Ms08067安全实验室
  • 远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)

    声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

    Ms08067安全实验室
  • 远控免杀专题(6)-Venom免杀(VT免杀率11/71)

    1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

    Ms08067安全实验室
  • 远控免杀专题(5)-Veil免杀(VT免杀率23/71)

    1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

    Ms08067安全实验室
  • 免杀 | 利用Python免杀CS Shellcode

    2019年,告别了coder的世界,告别了从前的生活。我决定暂时抛开金钱至上的价值体系,以一个Fucking loser的身份去寻找人生中的三大哲学问题,我是谁...

    HACK学习
  • 远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69)

    2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

    Ms08067安全实验室
  • 免杀dnscat2

    下载地址:https://github.com/lengjibo/RedTeamTools/tree/master/windows/dnscat2

    鸿鹄实验室
  • 免杀tips

    最近断更了,是什么让我们饱经风霜,无奈断更,是xx,师傅们都去各地就位了,文章也就少了起来,今天分享个小技巧。

    鸿鹄实验室
  • 免杀tips2

    鸿鹄实验室
  • 远控免杀专题文章(3)-msf自免杀(VT免杀率35/69)

    1、远控免杀专题文章(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

    Ms08067安全实验室
  • 远控免杀专题-shellcode免杀实践

    目前网上有很多的自动生成免杀shellcode的工具,但是要知道杀毒软件检测某个免杀工具也是非常容易的,因为这些流行工具的指纹很容易被杀软公司搜集到然后加入特征...

    洛米唯熊
  • 远控免杀专题文章(4)-Evasion模块免杀(VT免杀率12/71)

    1、远控免杀专题文章(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

    Ms08067安全实验室
  • Jenkins迁移几个需要注意的点

    Jenkins在测试领域被广泛使用,因为机器下线,资源紧张,任务冲突等原因导致的Jenkins迁移也在所难免。本文结合Jenkins迁移过程,介绍该过程中遇到的...

    LinuxSuRen
  • 免杀版mimikatz

    根据3好学生师傅的开源代码编译出来的,c#调用peloader,具体原理不再赘述。当然你可以发散思维一些,比如过360加用户,这里不再多说

    鸿鹄实验室
  • 免杀技巧 | PHP免杀木马绕过某盾

    对于网站木马总重要的就是隐匿性和免杀.在说免杀之前,我想先说说有关于隐匿性的两个小细节.

    HACK学习
  • python 免杀验证

    使用Metasploit生成C语言风格的一些shellcode作为载荷,这里使用Windows bindshell,功能为选定一个TCP端口与cmd.exe进程...

    用户5760343
  • Webshell免杀套路

    字符串变形多数用于BYPASS安全狗,相当对于D盾,安全狗更加重视"形" 一个特殊的变形就能绕过安全狗,看看PHP手册,有着很多关于操作字符串的函数

    HACK学习
  • 再探mimikatz免杀

    前几天看了tubai师傅的免杀抓密码,这里我也来分享一下mimiktaz的powershell脚本的免杀方法。

    鸿鹄实验室

扫码关注云+社区

领取腾讯云代金券