简介 该工具是由Arks7使用Go语言开发的一个免杀生成器模板,目前可以过国内主流杀毒。
文章目录 一、APK 加壳脱壳现状 二、判断 APK 是否加壳 三、APK 逆向流程 一、APK 加壳脱壳现状 ---- 加壳覆盖率很高 : 当前的应用 , 基本上 90% 都会加壳 , 各大加固厂商..., 并且加的壳都很特殊 , 需要 先进行脱壳 , 然后才能进行恶意代码分析 ; 二、判断 APK 是否加壳 ---- 如何判断一个 Android 应用是否加壳 : 直接解压观察 : 将应用 APK...解压 , 观察其特征 ; Android Killer 分析 : 使用 Android Killer 等工具分析 APK 文件 , 会提示加壳信息 , 分析加壳种类 ; 每种加壳的方式都会留下加壳的指纹特征...; GDA 分析 : 使用 GDA 分析 APK 文件 , 将 APK 文件直接拖动到 GDA 中 , 就会进行自动分析 ; 三、APK 逆向流程 ---- 检测加壳 : 使用检测工具 如 GDA 等..., 判断 APK 文件是否加壳 ; 根据加壳的相关指纹信息 , 判断加的是哪种壳 ; 脱壳 : 针对 APK 加壳类型 , 进行 脱壳 ; 反编译 : 使用 反编译工具 如 ApkTool , JEB
本文作者:zedxx10师傅 01免杀编写说明 参考自己公司大佬写的go木马中的内存保护 必须对Windows一些重要dll 和 go语言的指针有所了解(重 要 !...) 思路:还是和我之前的文章一样采用分离式加载免杀 02shellcode加载器 shellcode加载器的编写结构: 1. 定义一个接收函数 2....壳 免 杀 免杀还是采用加壳,upx可以使用但需要抹除特征码(对汇编不好的师傅不太友好,而且容易出问题)。...这里还是采用 safe的壳: 用法很简单: 将你的exe 拖入之后就可以了 (这里选择默认加壳模式就行了,当然如果懂汇编的师傅可以尝试一下其它的选项) 免杀效果:可过火绒和360。...06msf配合免杀演示 1. msf 生成木马 其中,LHOST、 LPORT 根据自己的情况设置。
Veil-Evasion 是一个用 python 写的免杀框架,可以将任意脚本或一段 shellcode 转换成Windows 可执行文件,还能利用Metasploit框架生成相兼容的 Payload...工具,从而逃避了常见防病毒产品的检测。...,使用下面命令 dk ps -a //查看启动的镜像 dk exec -it 4ae72dc914c9 /bin/bash 执行 veil命令可启动,版本为 3.1.1 veil使用 veil 有两个免杀的工具...Ordnance 可生成在 Veil-Evasion 中使用的 shellcode,Evasion 是用做文件免杀 我们一般选择Evasion Veil>: use 1 #选择Evasion功能 Veil
—-网易云热评 一、简介 快速生成免杀exe可执行文件,目前拥有三种免杀的方法 二、下载及安装 1、下载到本地 git clone https://github.com/lengjibo/FourEye.git...r requirements.txt 三、使用方法 1、打开该软件 python3 BypassFramework.py 2、显示可生成的软件,list 3、选择shellcode,显示可选择的免杀方式...4、选择fibers免杀方式,加密方式选择xor,输入shellcode,选择平台的位数,execute运行 注意:如果报错请安装mingw环境 apt-get install gcc-mingw-w64
apk加壳加密工具(apk_protect)是用于加密apk文件中dex文件的加密工具,加密的东西主要有字符串加密、流程加密、类名加密和api加密(未完成,后续支持)等,有于较好的保护apk文件,使之不易激活成功教程分析...__我对apk_protect在线加密的有效性进行了测试和分析,发现确实给android_apk提供了无法激活成功教程的加密壳。...于是,意外的发现他们已经推出了懒人版apk_protect。没错,懒人版!也就是免安装单机版!无ads无插件无需安装,简单选定apk文件点击加密即可!..._____使用方法___运行apkcrypt.exe,选择你所需要加密的apk,然后点击“add_apk_protect”。
加壳工具是指注入一段功能代码到 APP 中,并可以将原始的二进制指令经过混淆、虚拟化等手段进行等价变换,实现满足 APP 多种安全需求。根据功能的不同可以分为:压缩壳、加密壳、虚拟机壳。...加壳工具六大特性 01 安全性 虚拟机外壳同时具备基础保护和高级保护功能,是公认的强度最高的保护方式。 加密外壳的主要作用是保护核心代码逻辑和增加软件逆向难度。高安全性是选择一款加壳工具的金标准。...甚至会出现某些加壳后的程序被杀毒软件拦截查杀的现象。加壳后的程序如果不稳定,会给使用者带来极大的不便,影响工作效率。 03 加壳后是否影响性能 选择支持性能调节的加壳工具。...04 支持范围 选择支持范围广泛的加壳工具。...选择加壳工具时要关注一下是否支持数据文件保护。 06 用户体验 选择操作简单的产品。 界面工具:优先考虑界面直观、操作简单的产品,这样能够事半功倍,提升加密效率。
加壳工具的使用 0x01 前言 0x01 加壳简介 0x02 ASPack加壳 0x03 PE-Armor加壳 0x01 前言 这是我对加壳工具的使用的学习记录。...0x01 加壳简介 1.加壳:是一种通过一系列数学运算,将可执行程序文件(EXE)或动态链接库文件(DLL)的编码进行改变(目前加壳软件还可以压缩、加密),以达到缩小文件体积或加密程序编码的目的。...2.在控制端安装ASPack加壳软件,对这四个木马进行加壳,加壳后会生成备份的。 3.将加壳的木马共享给被控制端,控制端再使用瑞星查杀,发现两个木马并查杀,有两个未检测出来。...0x03 PE-Armor加壳 1.在控制端安装PE-Armor加壳 软件。 2.用PE-Armor给四个木马进行加壳。...3.将加壳后的木马种植在被控制端计算机中,使用瑞星查杀,发现有一个被查杀,三个隐藏起来了。
时间20210107,环境winxp 介绍一些加壳工具和和它们的简单使用。其中加壳工具都可以在看雪学院上下载。为了方便描述,就先写了一个原程序,原程序的逻辑很简单,代码如下。...使用命令“upx 待加壳程序.exe”,即可对原程序进行加壳,这里是“src.exe”,可以看到下面显示了压缩的信息,如下图所示,File size(文件大小)由184401变为31744。...如下图所示,对要加壳的原程序和输出的加壳后程序进行选择。这里使用的原程序和UPX中使用的原程序是同一个。...然后进入Protection选项卡,点击Protect即可,也可以点击工具栏上的小闪电,如图所示,如果出现图中所示字样,说明加壳成功,我们进入到输出文件的目录查看。...下面是使用VMProtect加壳工具默认的加密方式,涉及到SDK的话就需要进一步研究了。 下图是ollydbg分析原程序,这里,把从地址00401050处的代码作为核心代码。
前言 最近被微步的一篇文章吸引了,里面讲到银狐通过自解压白 exe + 黑 dll 执行截取主线程添加自启动,发现 dll 与普通的免杀有很大的不同,决定自己尝试一下,虽然我之前没有做过白加黑免杀,感觉应该不会太难...,但是发现即便白 exe 有 360 签名也不能过 360 的晶核模式,又通过一番寻找成功 bypass 360 晶核模式,不得不说白加黑除了制作 dll 麻烦,使用起来真是简单高效,适合有一定基础的免杀新手尝试...三、白加黑前置知识 白加黑是一种利用 DLL 劫持技术来绕过安全软件的主动防御,以达到加载恶意程序的目的。...四、白加黑制作 1....: 成功过静态查杀: 动态 gg: 当然 defender 不是我们免杀的重点,先将 defender 关了,再运行测试能否执行上线。
目前就是转而向使用工具方向了。 目前加壳的两个主要方向是压缩和加密。...压缩壳 压缩壳以UPX为代表,使用方法在前面的文章中有,此类壳的功能已压缩为主,对文件的加密效果几乎没有,Peid等侦壳工具可以轻而易举地发现这些壳,相应也有较成熟的脱壳机来实现。...本文把穿山甲的使用流程展示如下: 加壳流程与工程创建相似,首先在工具内创建工程 然后输入工程名和版本号 在第二栏中选择需要保护的文件,需保护的次要文件为主文件调用的DLL等,也可不选...注意此时不要选默认,否则会导致后面密码设置出错,证书设置如图: 配置好后关闭设置页面可见如下界面: 点击工具栏中的锁头按钮即可开始加壳,成功后弹出如下消息框: 此时运行加壳后的文件会需要用户名和密码...加密壳工具:VM protect ,该工具使用虚拟机技术对代码进行加密,效果可以说是目前加壳领域最强,且资料显示以目前的激活成功教程理论解密VMP保护下的文件是几乎不可能的。
恰逢昨天在月总群里突然有人在window写shell的话题中聊到了certutil这个工具,且讨论起了些bypass的手段。...了解过certutil工具的师傅建议直接到0x02 0x01 关于certutil工具的介绍以及一些基础的用法 Certutil.exe是作为证书服务的一部分安装的命令行程序。...以上呢是微软官方对于Certutil.exe工具的使用介绍,不过现在Certutil.exe已经被黑客广泛利用于下载,编码解码等用途。所以现在他被杀的蛮死的。...先用Resource Hacker工具给certutil修改资源(这里我随手拿了360的工具来换) 点击操作-从资源文件加载 按下图进行勾选 然后保存 就像下图 实战测试一下 最新火绒 最新
市面上的 Dnspy, ILspy,de4dot等工具可以非常容易反编译出被混淆保护的C# .net 程序。...将C# .net 编译成的执行程序(.exe),动态库(.dll)直接拖入加壳工具即可完成保护操作,十分方便。并且在效果上已经完全看不到源码中的逻辑。...原理 将原始的代码段与数据包打包并压缩,将原始程序入口(OEP)替换为壳代码,运行时由壳代码将代码段与数据段还原,并进行一些重定位等操作,使程序能正常运行。 功能 防止静态反编译,防止程序被打补丁。...3、因此添加了强名称的程序加壳时要去除强名称, 并在加壳后重新添加强名称。 函数级保护-代码加密 原理 代码加密是使用动态代码技术,将原始方法字节码加密,执行时才将方法解密并执行的保护方式。
补充:360、天擎为代表的杀软也会对一些微软签名的Windows工具和.exe文件进行标记,例如:PuDump、Rundll32、Msbuild.....所以,攻击者需要实时更新自己的DLL白名单,不然免杀效果很可能失效...以上两种不同的思路,导致了"白加黑"有了两种不同的思路,即可以修改原有的DLL,也可以创造一个黑DLL进行攻击。 这里补充一下,白加载shellcode就是我们所说的无文件落地免杀!...又因为某些原因Powershell无文件落地免杀在国内其实不太流行,因为360\天擎一旦发现Powershell运行一些敏感函数就会标记直接拦截,导致执行失败,但是它却可绕过火绒等杀软。...ASMI免杀处理 为了做好Powershell的免杀,我们针对内存规避有着以下的手段: 专注于内存操作,不将文件写入磁盘 通过利用各种Windows API将有效负载注入进程 然后在存储器中的单独线程中执行有效载荷...但是ASMI依然对Powershell的免杀有着致命的打击,所以需要我们针对Powershell的ASMI免杀做出特定的研究。
市面上的 Dnspy, ILspy,de4dot等工具可以非常容易反编译出被混淆保护的C# .net 程序。...将C# .net 编译成的执行程序(.exe),动态库(.dll)直接拖入加壳工具即可完成保护操作,十分方便。并且在效果上已经完全看不到源码中的逻辑。...原理 将原始的代码段与数据包打包并压缩,将原始程序入口(OEP)替换为壳代码,运行时由壳代码将代码段与数据段还原,并进行一些重定位等操作,使程序能正常运行。 功能 防止静态反编译,防止程序被打补丁。...3、因此添加了强名称的程序加壳时要去除强名称, 并在加壳后重新添加强名称。 05函数级保护-代码加密 原理 代码加密是使用动态代码技术,将原始方法字节码加密,执行时才将方法解密并执行的保护方式。
前言 多看看别人的工具,自己也就会写了。...(手动狗头) Sharperner是一款C#编写的自动化免杀工具,用来生成免杀的exe文件或者C++的loader,在antiscan.me上为全绿,效果可见一斑。 ?...写在后面: 该工具免杀效果显著,但C#版本的某些api可能会引起杀软注意,可更换为D/Invoke,如以后代码效果失效,可尝试构建.net混淆工具。demo如下: ?
前言 多看看别人的工具,自己也就会写了。(手动狗头) charlotte是一款Python编写的自动化免杀工具,用来生成免杀的dll文件,在antiscan.me上为全绿,效果可见一斑。 ?.../github.com/9emin1/charlotte,其依赖mingw-w64环境,可使用下面的命令安装: apt-get install mingw-w64* 利用动态导出以及xor编码实现了对杀软的绕过...os.system("x86_64-w64-mingw32-g++ -shared -o charlotte.dll charlotte.cpp -fpermissive >/dev/null 2>&1") 总结:工具技术均为常见技术...,结合起来则出了不错的效果,当然dll的选择也是一个很好的点,参考之前生成service exe的工具。
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!...本文首发于奇安信攻防社区,文章链接地址:https://forum.butian.net/share/1077 作者:江南小虫虫 0x00 前言 所以今天写(水)一篇静态免杀的文章。...0x01 准备 vs2019 开发 Kali(攻击机):192.168.94.141 win10(受害机): 192.168.94.128 今天用到的工具是:CFF Explorer:https://ntcore.com
VCProtect虚拟机加壳工具 虚拟机加壳工具,可以给目标程序加上虚拟机,同时提供多态变形功能。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
对象存储
云直播
