Invoke-Obfuscation混淆免杀过360和火绒(下)

简介: Invoke-Obfuscation混淆免杀过360和火绒

6. 第三种方法 3



6.1 360



动态上线测试



再次云查杀,正常



6.2 火绒



静态查杀


6.3 windows Defender


静态正常

动态:失败



6.4 总结


静态查杀能力:


火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

未测

✔️

动态上线:


火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

未测


7. 第四种方法 4



7.1 360




上线测试


360动静均正常

7.2 火绒




动态正常



火绒动静正常


7.3 windows Defender


静态过了


动态上线失败



7.4 总结


静态查杀能力:


火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测

✔️

动态上线:



火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测


8. 第五种方法 5




现在验证下各种查杀



8.1  360


动态上线


静态正常动态上线代码错误

8.2 火绒


静态正常动态上线代码错误

8.3 window defender



都报错,那再生成一次,这次报错更多了


静态正常动态上线代码错误


8.4 总结


静态查杀能力:


火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测

✔️

动态上线:


火绒

360

Windows Defender

windows 10 64位

未测

运行报错

未测

windows server 2019 64位

运行报错

未测

运行报错


9. 第6种方法 6



9.1 360



动态上线测试,上线正常



再杀一次,还是正常



360动静态上线均正常


9.2 火绒




火绒动静态上线均正常


9.3 window defender



Windows Defender直接报毒


9.4 总结



静态查杀能力:


火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测

动态上线:


火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测



10. 第七种方法 7


10.1 360



动态上线测试,win10下的powershell崩掉,应该是由于字符太大的原因


360静态正常动态上线程序奔溃

10.2 火绒


静态查杀正常


动态上线测试:正常



10.3 window defender


静态正常


由于脚本无法在我的win10下测试,这里到winserver2019上进行测试,开启Windows defender防护


上线失败





10.4 总结


静态查杀能力:


火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测

✔️

动态上线


火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测


11. 第八种方法 8

11.1 360



静动状态下都正常

11.2 火绒




image.png

火绒安全

病毒查杀

reversehandleronhttps://10.211.55.2:4444

[*StartedH

HTTPSrever

htp://8.

本次扫描未发现风险

bytes)...

[*Meterpretersession5opened(

127.0.0.1)2021-05-3117:15:29

(10.211.55.2:4444>

9+0800

扫描已完成

meterpreter>exit

WindowsPowershell

[ShuttingdownMeterpreter...

WvindowsPowerShe1l

保留所有权利.

版权所有(C)MicrosorlCorporalion.保

[*Meterpretersession5closedRasonusrexit

PSC:UserscrowDesktopltcst>.18.psl

msf6exploit(multi/handle)run

*startedHufPsreversehandLeronhttps://18.211.552:4444

[*]

htp://6..

ytes

NtErretrSesston6p10

*

meterpreter>exit

[?]ShuttingdownMeterpreter...

[*Meterpretersessionx

msf6exploit(multi/handle)run

startedHitPsreversehandLeronhttps://10.211.552:4444

(20

from192.168.238.3;(UUID:

https://10.211.55.2:4444handting

staging

x64

igufqks7)

grequest

bytes)

17:27:13+0800

[*Meterpretersession7e(12

127.0.0.1)at2021-05-31

急私声明

meterpreter



11.3 window defender



11.4 总结

静态查杀能力:


火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测

✔️

动态上线:


火绒

360

Windows Defender

windows 10 64位

未测

✔️

未测

windows server 2019 64位

✔️

未测



12. 总结


环境:

Windows10 x64 + 360


winserver2019 x64 + 火绒


windows Defender

msfvenom生成powershell攻击脚本和Invoke-Obfuscation混淆方法在Encoding模式下的静态查杀效果:



ps:以上环境都联网状态下,360采用云查杀


同样

msfvenom生成powershell攻击脚本和Invoke-Obfuscation混淆方法在Encoding模式下的动态上线查杀效果:


ps:以上环境都联网状态下,360采用云查杀


文中难免有错误和不对的地方,希望各位多多指教!

相关文章
|
开发工具 C语言 数据安全/隐私保护
免杀工具 -- FourEye
免杀工具 -- FourEye
836 0
免杀工具 -- FourEye
|
网络协议 网络安全
Powershell免杀(无文件落地免杀)
无文件落地 顾名思义,无需将恶意文件传到目标服务器/机器上,直接利用powershell的特性加载到内存执行。为了在红队行动中更隐蔽的实施攻击以及横向移动,同时还可以解决目标不出网只能通过dns上线时的棘手问题,利用powershell可以避免一行行echo。 通过两种方式进行无文件落地的免杀,一种是出网的情况,另一种为不出网情况。 声明: 文章内容仅供网络安全爱好者学习使用,请勿用文章中提到的技术或工具做违法的事情,否则后果自负。
1166 0
|
2月前
|
XML 存储 安全
C#开发的程序如何良好的防止反编译被破解?ConfuserEx .NET混淆工具使用介绍
C#开发的程序如何良好的防止反编译被破解?ConfuserEx .NET混淆工具使用介绍
101 0
|
Java Unix Windows
JspServlet混淆与绕过处理
JspServlet混淆与绕过处理
130 0
|
安全 网络安全 数据安全/隐私保护
Invoke-Obfuscation混淆免杀过360和火绒(上)
Invoke-Obfuscation混淆免杀过360和火绒
209 0
|
安全 Windows
【工具分享】免杀360&火绒的shellcode加载器
【工具分享】免杀360&火绒的shellcode加载器
387 0
|
安全 Go API
自写go加载器加壳免杀——过国内主流杀软
自写go加载器加壳免杀——过国内主流杀软
476 0
|
安全 PHP
webshell免杀中符号的妙用
webshell免杀中符号的妙用
|
安全 数据安全/隐私保护 C++
【免杀】C++静态免杀学习
【免杀】C++静态免杀学习
445 0