6. 第三种方法 3
6.1 360
动态上线测试
再次云查杀,正常
6.2 火绒
静态查杀
6.3 windows Defender
静态正常
动态:失败
6.4 总结
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
❌ |
未测 |
✔️ |
动态上线:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
❌ |
未测 |
❌ |
7. 第四种方法 4
7.1 360
上线测试
360动静均正常
7.2 火绒
动态正常
火绒动静正常
7.3 windows Defender
静态过了
动态上线失败
7.4 总结
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
✔️ |
动态上线:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
❌ |
8. 第五种方法 5
现在验证下各种查杀
8.1 360
动态上线
静态正常,动态上线代码错误
8.2 火绒
静态正常,动态上线代码错误
8.3 window defender
都报错,那再生成一次,这次报错更多了
静态正常,动态上线代码错误
8.4 总结
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
✔️ |
动态上线:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
运行报错 |
未测 |
windows server 2019 64位 |
运行报错 |
未测 |
运行报错 |
9. 第6种方法 6
9.1 360
动态上线测试,上线正常
再杀一次,还是正常
360动静态上线均正常
9.2 火绒
火绒动静态上线均正常
9.3 window defender
Windows Defender直接报毒
9.4 总结
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
❌ |
动态上线:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
❌ |
10. 第七种方法 7
10.1 360
动态上线测试,win10下的powershell崩掉,应该是由于字符太大的原因
360静态正常,动态上线程序奔溃
10.2 火绒
静态查杀正常
动态上线测试:正常
10.3 window defender
静态正常
由于脚本无法在我的win10下测试,这里到winserver2019上进行测试,开启Windows defender防护
上线失败
10.4 总结
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
✔️ |
动态上线:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
❌ |
11. 第八种方法 8
11.1 360
静动状态下都正常
11.2 火绒
火绒安全
病毒查杀
reversehandleronhttps://10.211.55.2:4444
[*StartedH
HTTPSrever
htp://8.
本次扫描未发现风险
bytes)...
[*Meterpretersession5opened(
127.0.0.1)2021-05-3117:15:29
(10.211.55.2:4444>
9+0800
扫描已完成
meterpreter>exit
WindowsPowershell
[ShuttingdownMeterpreter...
WvindowsPowerShe1l
保留所有权利.
版权所有(C)MicrosorlCorporalion.保
[*Meterpretersession5closedRasonusrexit
PSC:UserscrowDesktopltcst>.18.psl
msf6exploit(multi/handle)run
*startedHufPsreversehandLeronhttps://18.211.552:4444
[*]
htp://6..
ytes
NtErretrSesston6p10
*
meterpreter>exit
[?]ShuttingdownMeterpreter...
[*Meterpretersessionx
msf6exploit(multi/handle)run
startedHitPsreversehandLeronhttps://10.211.552:4444
(20
from192.168.238.3;(UUID:
https://10.211.55.2:4444handting
staging
x64
igufqks7)
grequest
bytes)
17:27:13+0800
[*Meterpretersession7e(12
127.0.0.1)at2021-05-31
急私声明
meterpreter
11.3 window defender
11.4 总结
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
✔️ |
动态上线:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
❌ |
12. 总结
环境:
Windows10 x64 + 360
winserver2019 x64 + 火绒
windows Defender
msfvenom生成powershell攻击脚本和Invoke-Obfuscation混淆方法在Encoding模式下的静态查杀效果:
ps:以上环境都联网状态下,360采用云查杀
同样
msfvenom生成powershell攻击脚本和Invoke-Obfuscation混淆方法在Encoding模式下的动态上线查杀效果:
ps:以上环境都联网状态下,360采用云查杀
文中难免有错误和不对的地方,希望各位多多指教!
