好久没更新文章了,前段时间在忙着毕设、考试等等诸多事宜。恰逢昨天在月总群里突然有人在window写shell的话题中聊到了certutil这个工具,且讨论起了些...
隐藏api 库 从恶意软件分析来讲,杀软静态分析会提取exe文件中的字符串来进行恶意行为比对统计,进行阈值估算,如果一个exe中,高危字符串太多了,比如VirtualAllocEx,WriteProcessMemory...,CreateRemoteThread等,超过了阈值,那么很有可能都过不了杀软的静态分析,所以在恶意软件中,常常会加密字符串,这是比较低层次的规避。...\n"); } 现在的杀软来说,加密字符串是远远不够了,熟悉pe文件结构的都知道,我们程序用到的函数,API地址基本上都会在地址表 (IAT)中,杀软也知道,所以都会去读取二进制文件的IAT并检查是否存在导入...pi.hProcess, INFINITE); CloseHandle(pi.hProcess); CloseHandle(pi.hThread); } 这种终归指标不治本,因为现在杀软的...,但是杀软标记也十分有限的,改改还是能过的。
在篇文章中,我们将会使用shellter的方式绕过杀软(AV),与其他方式(Veil-Evasion等)相比,它在重新编码payloads通过AV软件方面效果更加显著。...能够采用任何32位的Windows应用程序,并嵌入shellcode,还是Metasploit等应用程序提供的payload,利用这种方式通常都能够绕过杀软(AV)的检测。...因此我们可以使用32位应用程序创建无限多个签名,从而绕过杀软(AV)的防护检测。 ?...(6)查看免杀情况: http://www.virscan.org/ ? ?
成立于1998年的comodo公司,主营业务:安全软件和SSL证书颁发。公司总部:美国。
事实证明这样做可以绕过大多数杀软的查杀。...通过使用virscan云鉴定技术,可以衡量出Payload的是否免杀,但需要注意的是,只有动态检测或基于行为的检测,才能真正捕获到现实世界中的Payload。...WinHttpSendRequest WinHttpReceiveResponse WinHttpQueryDataAvailable WinHttpReadData WinHttpCloseHandle 但是这些函数,很容易就被杀软盯上...WSACleanup(); return 0; } 最终的有效负载成功地向侦听主机发送了反向shell,更重要的是,VirScan上的检测率为零,本文所采取的步骤,展示了如何通过一些简单的修改,来使Payload绕过杀软的查杀
HERCULES是一个由Go语言开发的可以绕过防病毒软件的可定制的有效载荷生成器,只需简单的设置,就可以生成用于Metasploit的免杀payload,经测试,可完美绕过当前主流防病毒软件查杀检测。...192.168.1.100 windows7 x64 : 192.168.1.140 测试流程: 1.下载配置go语言环境; 2.下载初始化HERCULES ; 3.生成免杀exp...(三)生成免杀payload 1.选择生成Payload: 运行当前目录下HERCULES,选择第一个选项: ?...经过以上设置,回车之后,会在当前用户主目录下生成相关免杀exe程序: ? 对于相关程序是否免杀,我们可以通过在线av查杀网站进行测试,通过35个查杀软件扫描,全部扫描的结果为clean: ?...国内某杀软件 : ?
wmi是基于135端口进行的横向。依赖445只是因为,需要使用445取回命令执行结果。sharpwmi进行横向的时候火绒日志有一个特别有趣的地方:
前置知识 忙了两三个月,(最近又要忙7月的活动dddd)也没空研究什么新东西 ,发一个之前测试的免杀思路 ,昨日测试依旧是过了国内的主流杀软。...目前市面上的绝大多数杀软基于判断一个exe是否为木马,无非就是敏感函数或是调用敏感的api、特征库匹配、hash值、监控内存之类的 ,所以静态的还是比较好过的,稍微处理一下自己的shellcode基本上是都可以过的...,但是动态行为检测对于比较强的杀软是过不了的,本章的思路不适用edr或是定制杀软。...思路讲解 下面是一个非常原始的c++免杀 ,很明显 VirtualAlloc 、CreateThread、 WaitForSingleObject 这3个函数是敏感函数,那么我们这里可以使用这3个函数原本的函数声明..., 10); } 到此整个代码就算完成了 ,注意这里我的vs编译是 x64 release的 3.2 效果展示 未加壳的情况下Windows defender是动静都过了,并且成功上线,其它的杀软没测
在github有一个ssi的项目,项目地址如下:https://github.com/DimopoulosElias/SimpleShellcodeInject...
CreateProcess在3环最终会调用ntdll!NtCreateUserProcess通过syscall进入0环,我们可以通过调用NtCreateUser...
我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。...那么我们如果不想杀软监控我们的行为,之前提过的内核重载是一种绕过的方式,但是内核重载的动静太大,这里我们就通过直接重写3环到0环的API,通过重写KiFastCallEntry来自己调用内核的函数,以达到规避杀软的效果...调用成功 那么这里我们去pchunter里面看一下原来的SSDT表,起始地址为805A5614 结束地址为0x805CC8FE,而我们自己创建的SSDT表的地址为0x860203D0 那么如果杀软在...这里我只是简单的实现了一个打印的效果,那么既然已经绕过了杀软的检测我们当然也可以尝试一些其他的操作,在这里就不拓展了。
本文记录的我学习实现白+黑免杀的过程,以及遇到了shellcode编写32位无法注入64的问题,最后组合了各种静态规避手段,成功静态层面逃逸大部分的杀软。...软件开发厂商会对自己发布的软件进行签名,这样即使出现敏感动作(截图、图形远程控制)杀软也会放行动作,大大提高了正常用户的体验。...选择一个合适的ico,大家电脑上一堆,找个大一点的就可以了: 默认的VS设置比较坑爹,在release模式下依然会带上调试信息,清单信息,里面的信息包含编译的路径和用户名,这导致攻防的时候有部分搞免杀的师傅被溯源出来...id,就连不少顶级APT组织都翻车过,微软你坏事做尽(笑),我们得去资源方案关掉这个坑爹的选项: 最后注释掉所有我们debug的打印信息,上传VT查看静态效果,印象中32位的免杀效果一般都比较差,这个结果总体来说还可以了...360不喜欢我们用微软默认的编译器,这杀毒老是喜欢乱杀-即便你就编译一个helloword,我实际测试用到就是clang编译器的编译成品;360和火绒是没有内存查杀的,流量检测也很简陋,绕过还是比较简单
(笔芯) 这次的实验是结合"PowerShell crypter"工具(下面用简称"crypter")来对powershell脚本进行加密并采用Gzip/DEFLATE来绕过杀软。...不求百分百过所有杀软,只求分享技术思路。 https://github.com/the-xentropy/xencrypt 0x01:实验 1、首先生成正常的powershelll反弹脚本 ?
免杀方法: 对于一个不懂汇编的人来说,我是怎么过杀软的呢? 后面将会用360做为实例来给搭建演示。 观察杀毒软件报的病毒名称,如果你修改后文件能正常使用并且杀软报毒名称变了,这样一般就可以过掉。...不管你怎么换资源或加壳杀软一只报同样的名字,那么就去定位一下特征码。 不同的杀毒软件免杀的方法略有不同。 例如:360报qvm7免杀方法是替换资源文件和版本信息。...4.本人常用的免杀方法:替换资源/加花/修改入口点/加壳等。 0x00 免杀前的准备 本次实例将会使用360杀毒来给大家演示。 病毒文件主要以提权EXP老给大家演示!...4.在做免杀时请在断网环境下做! 5.360有5个引擎,再过的时候可以一个个去过。 6.需要用到工具包:小七免杀工具包(其实就用几个工具而已) ?...我们杀一下看看! ? 也成功过掉了! 添加字符串 仍c32 拖到最后,随便加点东西! ? ? 来联网杀一下看看! ? 过掉了!
前段时间分享了在线杀软对比源码+数据源(自用),最近又做了些补充,新增了一些杀软和常用的权限提升、信息搜集的进程。欢迎大家补充!...所以搜集整理了下Windows常用到的杀软、提权、信息搜集的进程用于辅助渗透。...奇安信、深信服、火绒安全、电脑管家等; WPS、G6FTP、TeamViewer、ToDesk、AnyDesk、向日葵、护卫神主机卫士、西部数码建站助手等; 注:如果存在有安全防护则需要去做针对性的免杀和绕过测试
首发于跳跳糖社区:https://tttang.com/archive/1546/ 前言 我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,...那么我们如果不想杀软监控我们的行为,之前提过的内核重载是一种绕过的方式,但是内核重载的动静太大,这里我们就通过直接重写3环到0环的API,通过重写KiFastCallEntry来自己调用内核的函数,以达到规避杀软的效果...调用成功 那么这里我们去pchunter里面看一下原来的SSDT表,起始地址为805A5614 结束地址为0x805CC8FE,而我们自己创建的SSDT表的地址为0x860203D0 那么如果杀软在...这里我只是简单的实现了一个打印的效果,那么既然已经绕过了杀软的检测我们当然也可以尝试一些其他的操作,在这里就不拓展了。
注:本文中所有杀软均为默认设置,且病毒库升级到最新 0x01 开胃小菜 1. ctypes模块调用dll动态链接库并调用函数 首先我们来生成一个简单的dll文件,打开visual studio 2019...本文只讨论使用python-ctypes模块加载shellcode的免杀思路和效果 在进行免杀对抗前,先来了解下杀软的查杀原理: 一般是匹配特征码,行为监测,虚拟机(沙箱),内存查杀等。...这教育我们别自己作,如果下载的破解版软件用杀软扫描报毒,别再运行了,除非你想当肉鸡(狗头) windows defender没查杀,运行后上线,但随后连接被断开,且defender自动将程序杀掉,强,...,如果当前网络状态不好,势必会对查杀效果有影响;另外如果用户错误点击了带有免杀的木马,并不会有主动断开连接的操作 3.win10普通用户,如果不是特别需要用到几款主流杀软的一些功能,如:360的软件管家...本文所讲述的免杀方法很初级,但这些方法,目前绕过国内默认配置的主流杀软是没问题的,就算以后被检测出来了,我们需要做的就是改变下思路,会编写点代码就行了,免杀是如此丰富多彩。
比较有意思的是,国内杀软对此样本目前仍全部失身。 ?
---- 虽然 github 上有许多大牛写的脚本可以生成免杀的 payload,但往往都好景不长,所以今天给大家分享一下我用的绕过杀软获取系统权限的思路 测试可过的杀软有: 卡巴斯基 360 腾讯电脑管家
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
