首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    】C++静态学习

    别人的静态 在Github上看到一个c++的,在4月6号的时候,还是bypass 很多的,但是一个月过去了,我执行之后发现了只能过火绒: 项目地址:https://github.com/G73st...复现其他师傅的 2.1 c++部分 其实他这部分代码的逻辑就是一个利用自己的密钥进行解密,解密之后再申请内存,执行shellcode,在这里先将别人的代码下载下来,在本地跑一下: 先把项目下载,然后把...Windows Defender 对于作者一个月以前的更新,可以过Windows Defender,但是现在只能免火绒,在这里对此做一个小小的改动,就可以达到以前的那种效果,但是依旧无法过360(...因为一直会被标记,此处的tips暂不提供,希望师傅能够理解) 此时最新版的Windows Defender 上线成功: 但是!!!...当然,在这个中,均属于静态,有些属于乱,就像碰到易语言一样,大家都

    2.2K30

    | 利用PythonCS Shellcode

    0x03 为什么使用python python语言入门门槛低,上手快,且两三年前就出现了这种方式,但是很多人说网上公开的代码已经不免杀了。事实真的如此吗?...不做硬编码(人话:shellcode字符串不写死在代码里面) 2、:shellcode字符串 多种编码方式混淆 3、:shellcode字符串 加密 4、:添加无危害的代码执行流程扰乱av分析(早些年的花指令思维...答案是否定的:CobaltStrike的管道通信模式加上将花指令思维运用在高级语言层面上一样有效,人话就是在shellcode loader的代码层面加一些正常的代码,让exe本身拥有正常的动作,扰乱...总结:本文所阐述的粗略且浅显的方法都是站在CobaltStrike强大的肩膀上实现的。...0x09 总结 此种方式的缺点:单文件体积过大,go语言比较小,veil里面有使用go进行的,单文件体积在800kb左右,如果你学过go的语法,建议你利用go语言来,具体操作,你可以在使用veil

    4.4K62

    攻防之Webshell研究

    实战—小马 引用 因为D盾、安全狗、护卫神会对关键字eval中的执行变量进行溯源,当追溯到要执行的变量为一个通过POST接收的可疑数据时就会显示可疑木马,为了躲避这种溯源方式,可以通过多次使用...幸好今天"反引号"大哥来串门,不妨让他来帮个忙: 发现成功,之后我们再使用安全狗查杀一下看看————成功 护卫神————成功 至此,成功安全狗、护卫神、D盾,之后我们试试可用性:...,例如: 至于设计原理上面的注释中想必已经说得很是详细了,这里就不再一一复述了,下面我们使用D盾进行查杀看看—— 之后使用安全狗查杀看看————成功 之后使用护卫神查杀看看————成功 至此...之后使用安全狗查杀————成功 之后使用护卫神查杀————成功 至此,成功D盾、安全狗、护卫神,之后我们使用菜刀连接试试看是否可以正常使用: 实战—大马 加密&混淆 在处理的众多方法中...之后使用安全狗查杀————成功 之后使用护卫神查杀————成功 至此,成功D盾、安全狗、护卫神,之后我们试试可用性: 文末小结 这篇文章最初写作与2019年10月份左右,文中涉及到的技巧大多数是较为成熟的技巧

    51210

    远控专题(5)-Veil(VT率2371)

    本专题文章导航 1、远控专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控专题(2)-msfvenom隐藏的参数:https...://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控专题(3)-msf自带(VT率35/69):https://mp.weixin.qq.com...5、远控专题(5)-Veil(VT率23/71):本文 文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus ---- 能力一览表...---- 前言 Veil、Venom和Shellter是三大老牌工具,虽然说人怕出名猪怕壮,但目前这几款工具在扩展性和能力方面依然有着不错的表现。...虽然查杀率还比较高,不过火绒和360都能静态+动态

    2.1K20

    远控专题(7)-Shellter(VT率769)

    本专题文章导航 1、远控专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控专题(2)-msfvenom隐藏的参数:https...://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控专题(3)-msf自带(VT率35/69):https://mp.weixin.qq.com...5、远控专题(5)-Veil(VT率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw 6、远控专题(6)-Venom...(VT率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ 7、远控专题(7)-Shellter(VT率7/69):本文 文章打包下载及相关软件下载...---- 前言 Shellter和Venom、Veil是三大老牌工具,Shellter是一个开源的工具,利用动态Shellcode注入或者命令来实现的效果。

    2.5K40

    远控专题-shellcode实践

    前言 最近在研究shellcode的技术,因本人以前主要是搞逆向的,shellcode方面还是个小白,所以就想着去看一看我老师任晓珲写的《黑客攻防》想从中寻找一些思路,但是也没有找到比较好实际运用的例子来进行实践...所以说我们可以借鉴别人分享思路,发散思维打造自己的方法。...shellcode基本上就失灵了,工具就变得很容易过时,所以我们需要来自己制作。...二、加密shellcode后生成可执行文件 但是这种直接生成可执行文件的效果有时候还是不太够,我们可以把shellcode进行加密存储,然后在执行的时候再解密出来执行,效果会好一些。...我这里把shellcode和0x97异或加密过后解密执行 的手段千变万化,没有哪一种是最好的,我们要学会搭配运用,根据对方的防护情况来布置自己的方式,再次感谢卿先生博客和拿破轮胎提供的思路

    2.5K10

    C++熵减法-Mimikatz

    一 前言 尝试对Mimikatz进行,提取Mimikatz的shellcode,然后使用的加载器进行加载,用加载器在加载cs shellcode时效果挺好,但在加载Mimikatz的shellcode...发现直接被360、defender等静态查杀了,VT上报毒也很高,于是尝试找出问题并进行。...图像法减少熵值 在网上没有找到将shellcode封装进图片的代码,自己写又太麻烦,而且不知道效果如何,如果花费大力气写出来发现效果不好不是白忙活了吗?...后面更换的动态回调加载器: 为了增加能力对字符串进行了加密,并用动态生成key。...四 最后 前面讲的熵减法Mimikatz的内容是十几天之前做的,基于intel c++编译器到达的VT全免效果,加了一点动态,以过defender动态查杀,第二项的效果图是最近的,此时的intel

    95760

    远控专题文章(4)-Evasion模块(VT率1271)

    本专题文章导航 1、远控专题文章(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控专题文章(2)-msfvenom隐藏的参数...:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控专题文章(3)-msf自带(VT率35/69):https://mp.weixin.qq.com.../s/A0CZslLhCLOK_HgkHGcpEA 4、远控专题文章(4)-Evasion模块(VT率12/71):本文 文章打包下载及相关软件下载:https://github.com/TideSec.../BypassAntiVirus ---- 能力一览表 ?...小结 在evasion中共提供了6个模块,大家都可以进行尝试。上文中第三个利用csc白名单加载payload的方式还有很多种,网上也有很多介绍,侯亮大神也提到了很多类似的白名单软件。

    1.1K10

    闲谈

    准确来说入职新公司一年多 从红队转开发已经感觉很久没有聊过的内容了。...在职期间也遇到不少朋友问的事情和入门的事情 所以今天就浅谈一下 给有基础的人简单入个门以下仅个人观点大佬勿喷 1.概述 本文的软不针对国内软,360、火绒、电脑管家没测试; 本文的原始马全是...软 分析了不少c2:当然做,分析软我认为是必要的; 卡巴这几年,尤其是静态上不太注重,整体上来说eset更好;静态层面赛门不用质疑,国外很多大公司都是必装赛门的 。...不是小白能懂的,切记杀绝对不是一件很简单的事情,如果有人告诉你和玩一样这种的人 这种大概率是割韭菜(360的大佬都不敢这么说)。...看雪上有很多好的文章可以学习,大部分所谓的课程真的能教你一些核心或者未公开的技术吗?

    75220

    远控专题(17)-Python-Rootkit(VT率769)

    能力一览表 ? 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。...4、其他软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为软查杀能力的判断指标。...5、完全不必要苛求一种技术能bypass所有软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的软就足够了。...打开软进行测试,静态检测都可bypass,行为检测时火绒提示隐藏的powershell行为,关闭火绒后可正常上线,360安全卫士和杀毒都没有报警。 ?...效果整体感觉一般,还是python生成exe,执行后调用powershell下载Invoke-Shellcode.ps1,然后反弹shell,应该很容易触发软的行为检测。

    1.9K20

    远控专题文章(3)-msf自(VT率3569)

    本专题文章导航 1、远控专题文章(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控专题文章(2)-msfvenom隐藏的参数...4、其他软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为的精确判断指标。...---- 1.前言 本节主要是对msf自身提供的杀机制(编码+捆绑)进行尝试,由于msf被各大安全厂商盯的比较紧,所以这些常规的方法效果肯定是比较差的,但有时把一两种常规方法稍微结合一下就能达到比较好的效果...另外,能否也和你选的被捆绑exe有一定关系,可以选微软的一些工具作为模板exe程序。...后面会介绍更多的方法,自己可以尝试多种杀进行组合,垒积木一样的感觉... 6.msfvenom多重编码(VT查杀率45/70) msfvenom的encoder编码器可以对payload进行一定程度

    1.9K10

    杂谈

    (这些方面也是基本涵盖了常见的需求) 从需求方面 木马 权限维持 工具 其他阶段方面 静态 动态「 执行 内存 行为 」 3.流量 从payload加载方面...无论是工具的还是做木马的,不过大部分也就是: 本体的,一个可执行程序,直接进行运行。payload就直接在程序里写死了。 分离,制作加载器等。通过加载器和载荷分开的方式。...不过对于远线程注入的方式也可以做成分离的形式。 webshell:对于上传的webshell进行,主要还是各种变形,加密,混淆。老生常谈,但也是很多在用。...而且近半年也能看见很多github和公众号出现了这种方法,研究的师傅也是越来越多了。 其他的对于工具的,核心点也是混淆,编码等。...关于大概就说到这里吧,看了很多的思路,主要还是分离吧,去做加载器,再加上点编码混淆,就拿来用了。

    36610
    领券