红队搬运工-github有趣的免杀项目分享
红队搬运工-github有趣的免杀项目分享
前言
github一直是it行业最大的同性交流网站,上面的开源好项目非常之多,不少的渗透好工具都出自github上面的大佬,尤其是免杀的loader,github一直是好免杀的藏宝阁,拿来就能用,拿来就能免,除非被杀软标记很多的项目,大部分免杀效果都很好的。
分享
1.DPlant
github链接:https://github.com/trickster0/UDPlant
介绍:UDP版本的反向shell工具,在 windows 和 linux 中都能完美运行
开发语言:rust
推荐理由:rust编写,udp通道,隐藏和免杀性较好,小巧实用:
2.EDR Detector
github链接:https://github.com/trickster0/EDR_Detector
介绍:EDR 检测器,在 windows 运行
开发语言:rust
推荐理由:rust编写,CS集成插件,红队作战很好的小工具
3.AV_Evasion_Tool
github链接:https://github.com/1y0n/AV_Evasion_Tool
介绍:红队免杀工具
开发语言:C#,go
推荐理由:操作方便,项目一直在更新
如果使用工具的全部功能,请确保满足以下全部条件:
- 64位 Windows 7 或以上操作系统
- .net framework 4.0 或更高版本 (Windows 自带)
- 安装 tdm-gcc
- 安装 64位 Go 语言环境,并添加到系统环境变量
4.Donut
github链接:https://github.com/TheWover/donut
介绍:Donut是一种与位置无关的代码,可以在内存中执行 VBScript、JScript、EXE、DLL 文件和 dotNET 程序集。Donut 创建的模块可以从 HTTP 服务器暂存,也可以直接嵌入到加载程序本身中
开发语言:C
推荐理由:内存执行,过静态很好用,内存加密,过内存扫描。
5.artifacts-kit
github链接:https://github.com/forrest-orr/artifacts-kit
介绍:伪恶意用户模式内存工件生成器套件,旨在轻松模仿真实恶意软件,意思就是可以把shellcode转换成恶意软件,效果还行
开发语言:C++
推荐理由:多种配置生成,灵活搭配,免杀效果还行。
6.EVA2
github链接:https://github.com/ORCA666/EVA2
介绍:另一个版本的 EVA 使用反调试技术 && 使用 Syscalls
开发语言:C++
推荐理由:编码的shellcode,shellode的解密和注入发生在内存中[逐字节],利用反调试技术,操作简单,免杀效果很好。
7.Phantom DLL hollowing
github链接:https://github.com/forrest-orr/phantom-dll-hollower-poc/
介绍:DLL 空心化是一种技术,可用于为内存中的恶意软件提供隐蔽性,无论是在本地进程内还是在远程进程内(结合进程注入/空心化)
开发语言:C++
推荐理由:DLL空心化,不需要加密就能免内存。
思考
免杀在于积累,积累足够好,技术足够新,多种结合,乱免。