—-网易云热评 一、简介 快速生成免杀exe可执行文件,目前拥有三种免杀的方法 二、下载及安装 1、下载到本地 git clone https://github.com/lengjibo/FourEye.git...r requirements.txt 三、使用方法 1、打开该软件 python3 BypassFramework.py 2、显示可生成的软件,list 3、选择shellcode,显示可选择的免杀方式...4、选择fibers免杀方式,加密方式选择xor,输入shellcode,选择平台的位数,execute运行 注意:如果报错请安装mingw环境 apt-get install gcc-mingw-w64
由于杀软并不是一直扫描内存,而是间隙性的扫描敏感内存,因此可以在cs的shellcode调用sleep休眠将可执行内存区域加密,在休眠结束时再将内存解密来规避杀软内存扫描达到免杀的目的。...下面进行讲解,包括以下四个方面: 32位inline hook 64位inline hook 32位内存加密 64位内存加密 其中32位内存加密免杀实现比较简单,64位则更为复杂,不能通过简单的hook...二 效果图 下面是32位内存加密免杀的效果图,64位和这差不多就不放了: 三 hook Windows API Hook是一种实现Windows平台下类似于中断的机制。...四 内存加密 使用开头提到了内存加密技术——由于杀软并不是一直扫描内存,而是间隙性的扫描敏感内存,因此可以在cs的shellcode调用sleep休眠将可执行内存区域加密,在休眠结束时再将内存解密来规避杀软内存扫描达到免杀的目的...,当执行到加密片段时再利用VEH机制解密片段,shellcode划分得越小免杀效果越好,难点在于如何划分shellcode使其正好划分在一句汇编的结束位置。
免杀是同所有的检测手段的对抗,目前免杀的思路比较多。本篇介绍了一个独特的思路,通过内存解密恶意代码执行,解决了内存中恶意代码特征的检测。...原文链接:https://forum.butian.net/share/2669 0x00 前言 免杀是同所有的检测手段的对抗,目前免杀的思路比较多。...0x02 流程 通过双重 xor 对shellcode进行加密 申请内存执行指定命令 通过计算地址执行解密函数指令后执行shellcode 效果: 0x03 免杀制作思路 1、静态免杀 杀软是通过标记特征进行木马查杀的...加密的方式非常多,最常用的是xor双加密,除此之外你还可以使用AES、SM4等对称加密,也可以使用SM9、RSA等非对称加密。...(int i = 5;i<sizeof(shellcode);i++) { ((char*)p)[i] = ((char*)p)[i]^184^6; } } 2、动态免杀
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus ---- 免杀能力一览表 ?...4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。...5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。...virustotal.com中39/71个报毒,以为能过360和火绒,免杀应该不错的... ?...参考 Msf&zirikatu免杀结合利用:http://www.secist.com/archives/3113.html
别人的静态免杀 在Github上看到一个c++的免杀,在4月6号的时候,还是bypass 很多的,但是一个月过去了,我执行之后发现了只能过火绒: 项目地址:https://github.com/G73st...复现其他师傅的免杀 2.1 c++部分 其实他这部分代码的逻辑就是一个利用自己的密钥进行解密,解密之后再申请内存,执行shellcode,在这里先将别人的代码下载下来,在本地跑一下: 先把项目下载,然后把...免杀Windows Defender 对于作者一个月以前的更新,可以过Windows Defender,但是现在只能免杀火绒,在这里对此做一个小小的改动,就可以达到以前的那种效果,但是依旧无法过360(...因为免杀一直会被标记,此处的tips暂不提供,希望师傅能够理解) 此时最新版的Windows Defender 上线成功: 但是!!!...当然,在这个免杀中,均属于静态免杀,有些属于乱杀,就像碰到易语言一样,大家都杀!
0x03 为什么使用python python语言入门门槛低,上手快,且两三年前就出现了这种免杀方式,但是很多人说网上公开的代码已经不免杀了。事实真的如此吗?...av分析(早些年的花指令免杀思维) 5、:CobaltStrike生成的shellcode是一段下载者,主要功能是下载becon.dll,然后加载进内存,很多功能都在bencon里面,所以说cs的shellcode...答案是否定的:CobaltStrike的管道通信模式加上将花指令免杀思维运用在高级语言层面上一样有效,人话就是在shellcode loader的代码层面加一些正常的代码,让exe本身拥有正常的动作,扰乱...总结:本文所阐述的粗略且浅显的免杀方法都是站在CobaltStrike强大的肩膀上实现的。...0x09 总结 此种方式的缺点:单文件体积过大,go语言比较小,veil里面有使用go进行免杀的,单文件体积在800kb左右,如果你学过go的语法,建议你利用go语言来免杀,具体操作,你可以在使用veil
本文分为几个部分: 1、shellcode加载器实现; 2、代码混淆; 3、寻找免杀api 4、分离免杀,分离加载器与shellcode; 5、python打包成exe 6、组合,免杀效果分析 0x01...但是现在并没有任何免杀效果。...为了达到免杀效果,我们需要从多方面去考虑,shellcode特征、加载器特征等, 需要逐个去debug 渐进式加载模式 在申请内存时,一定要把控好属性,可以在Shellcode读入时,申请一个普通的可读写的内存页...,这只是免杀技术的冰山一角角。...我们可以看出,虽然最后的查杀率还可以,但是生成的文件太大了,也有一些杀软把用py2exe、pyinstaller生成的任何exe包都当作了恶意文件,因此在实际中,还是更推荐用C#、go这种语言来写免杀。
://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com...5、远控免杀专题(5)-Veil免杀(VT免杀率23/71): https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw 6、远控免杀专题(6)-Venom免杀...---- 前言 Venom和Veil、Shellter是三大老牌免杀工具,免杀主要依靠分离执行和加密混淆等技术,可以和msf无缝对接。...python | ruby | dll | msi | hta-psh)等,然后将生成的shellcode注入一个模板(例如:python),并使用类似gcc、mingw32或pyinstaller之类的编译器生成可执行文件...pyherion.py (crypter) | wine (emulator) PEScrambler.exe (PE obfuscator) | apache2 (webserver)| winrar (wine) vbs-obfuscator
本专题文章导航 1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控免杀专题(2)-msfvenom隐藏的参数:https...://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com...5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):本文 文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus ---- 免杀能力一览表...---- 前言 Veil、Venom和Shellter是三大老牌免杀工具,虽然说人怕出名猪怕壮,但目前这几款免杀工具在扩展性和免杀能力方面依然有着不错的表现。...虽然查杀率还比较高,不过火绒和360都能静态+动态免杀。
spm_id_from=333.999.0.0&vd_source=4652172a15b97e23a4fc522adb2ef705 使用纤程免杀 纤程Fiber的概念:纤程是比线程的更小的一个运行单位...binaryxor 选择异或次数 4、生成之后,全选 edit – copy as c code,填入到上面的实现代码中,异或次数按照刚刚设置的进行修改 5、gcc xc2.c -mwindows编译生成exe 免杀效果...但是这是杀软自己模拟出的一个环境。...fibersapi.h DWORD result = FlsAlloc(NULL); if (result == FLS_OUT_OF_INDEXES) { return 0; } 使用求反免杀...clock(); if (end - start >= 2000) { return false; } return true; } void 加载器(
本专题文章导航 1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控免杀专题(2)-msfvenom隐藏的参数:https...://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com...5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw 6、远控免杀专题(6)-Venom免杀...(VT免杀率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ 7、远控免杀专题(7)-Shellter免杀(VT免杀率7/69):本文 文章打包下载及相关软件下载...---- 前言 Shellter和Venom、Veil是三大老牌免杀工具,Shellter是一个开源的免杀工具,利用动态Shellcode注入或者命令来实现免杀的效果。
前言 最近在研究shellcode的免杀技术,因本人以前主要是搞逆向的,shellcode免杀方面还是个小白,所以就想着去看一看我老师任晓珲写的《黑客免杀攻防》想从中寻找一些思路,但是也没有找到比较好实际运用的例子来进行实践...shellcode免杀基本上就失灵了,工具就变得很容易过时,所以我们需要来自己制作免杀。...二、加密shellcode后生成可执行文件 但是这种直接生成可执行文件的免杀效果有时候还是不太够,我们可以把shellcode进行加密存储,然后在执行的时候再解密出来执行,免杀效果会好一些。...此方法还可配合其他方式,比如前面提到的shellcode加密解密免杀等。...我这里把shellcode和0x97异或加密过后解密执行 免杀的手段千变万化,没有哪一种免杀是最好的,我们要学会搭配运用,根据对方的防护情况来布置自己的免杀方式,再次感谢卿先生博客和拿破轮胎提供的免杀思路
一 前言 尝试对Mimikatz进行免杀,提取Mimikatz的shellcode,然后使用免杀的加载器进行加载,用加载器在加载cs shellcode时免杀效果挺好,但在加载Mimikatz的shellcode...发现直接被360、defender等静态查杀了,VT上报毒也很高,于是尝试找出问题并进行免杀。...图像法减少熵值 在网上没有找到将shellcode封装进图片的代码,自己写又太麻烦,而且不知道免杀效果如何,如果花费大力气写出来发现免杀效果不好不是白忙活了吗?...后面更换的动态回调加载器: 为了增加免杀能力对字符串进行了加密,并用动态生成key。...四 最后 前面讲的熵减法Mimikatz免杀的内容是十几天之前做的,基于intel c++编译器到达的VT全免杀效果,加了一点动态免杀,以过defender动态查杀,第二项的效果图是最近的,此时的intel
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。...准确来说入职新公司一年多 从红队转开发已经感觉很久没有聊过免杀的内容了。...在职期间也遇到不少朋友问免杀的事情和入门的事情 所以今天就浅谈一下免杀 给有基础的人简单入个门以下仅个人观点大佬勿喷 1.概述 本文的杀软不针对国内杀软,360、火绒、电脑管家没测试; 本文的原始马全是...不加密对于绝大多数杀软来说,它能查看到你的字符串,并进行特征匹配。cs、msf的字符串特征98%的厂商都是记录的。 其次就字符串的加密,使用xor或者说一些弱加密,依旧会被查杀。所以建议使用强加密。...免杀不是小白能懂的,切记免杀绝对不是一件很简单的事情,如果有人告诉你免杀和玩一样这种的人 这种大概率是割韭菜(360的大佬都不敢这么说)。
本专题文章导航 1、远控免杀专题文章(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控免杀专题文章(2)-msfvenom隐藏的参数...:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控免杀专题文章(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com.../s/A0CZslLhCLOK_HgkHGcpEA 4、远控免杀专题文章(4)-Evasion模块(VT免杀率12/71):本文 文章打包下载及相关软件下载:https://github.com/TideSec.../BypassAntiVirus ---- 免杀能力一览表 ?...小结 在evasion中共提供了6个免杀模块,大家都可以进行尝试。上文中第三个免杀利用csc白名单加载payload的方式还有很多种,网上也有很多介绍,侯亮大神也提到了很多类似的白名单软件。
最近断更了,是什么让我们饱经风霜,无奈断更,是xx,师傅们都去各地就位了,文章也就少了起来,今天分享个小技巧。
(这些方面也是基本涵盖了常见的免杀需求) 从需求方面 木马免杀 权限维持免杀 工具免杀 其他免杀 从免杀阶段方面 静态免杀 动态免杀「 执行免杀 内存免杀 行为免杀 」 3.流量免杀 从payload加载方面...无论是工具的免杀还是做木马的免杀,不过大部分也就是: 本体的免杀,一个可执行程序,直接进行运行。payload就直接在程序里写死了。 分离免杀,制作加载器等。通过加载器和载荷分开的方式。...不过对于远线程注入的方式也可以做成分离免杀的形式。 webshell免杀:对于上传的webshell进行免杀,主要还是各种变形,加密,混淆。老生常谈,但也是很多在用。...而且近半年也能看见很多github和公众号出现了这种免杀方法,研究免杀的师傅也是越来越多了。 其他的对于工具的免杀,核心点也是混淆,编码等。...关于免杀大概就说到这里吧,看了很多的免杀思路,主要还是分离免杀吧,去做加载器,再加上点编码混淆,就拿来用了。
免杀能力一览表 ? 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。...4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀或杀软查杀能力的判断指标。...5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。...可以在source.py中把远程服务器换成你自己的服务器地址 ? 本地可以先测试一下,去掉-windowstyle hidden参数,可以看到ps代码执行情况。...免杀效果整体感觉一般,还是python生成exe,执行后调用powershell下载Invoke-Shellcode.ps1,然后反弹shell,应该很容易触发杀软的行为检测。
本专题文章导航 1、远控免杀专题文章(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控免杀专题文章(2)-msfvenom隐藏的参数...---- 1.前言 本节主要是对msf自身提供的免杀机制(编码+捆绑)进行尝试,由于msf被各大安全厂商盯的比较紧,所以这些常规的方法免杀效果肯定是比较差的,但有时把一两种常规方法稍微结合一下就能达到比较好的免杀效果...马云爸爸也出杀软了??)笔误,panda不是国内的。。 ? 3.msf自编码处理(VT查杀率51/69) 使用msfvenom --list encoders可查看所有编码器 ?...评级最高的两个encoder为cmd/powershell_base64和x86/shikata_ga_nai,其中x86/shikata_ga_nai也是免杀中使用频率最高的一个编码器了。...后面会介绍更多的免杀方法,自己可以尝试多种免杀进行组合,垒积木一样的感觉... 6.msfvenom多重编码(VT查杀率45/70) msfvenom的encoder编码器可以对payload进行一定程度免杀
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
