01 免杀思路
使用Restorator 2018来修改文件的属性,BeCyIconGrabber提取图标,upx进行加壳
02 BeCyIconGrabber
使用该软件提取ico图标
这里选用了vs的图标
随便找个位置保存。保存下来之后后缀是ico的
03 Restorator 2018
首先打开Restorator 2018
注册的key
Name: JuNoS License Key: eTM0afo7NHb+LdpcduPV4OOXfY2mppIQDxhdusa-qFG8sNfUCMIH6zNZI0M9L9Wuj46ROqd7soWDLinqUepIo2Z63YIaBvjuC2R7MeLBla8MhVNOIMn742RgMQh0ApZ2SJ5kIyYHpPhgcW5zu7R1-j5aenV2paLGFv5Z3lZM7KY
04 原始文件查杀
在这里使用毒刺代理文件:stinger_server.exe ,先使用360杀毒试试:
火绒没查杀出来,火绒真拉跨
修改该exe的属性
4.1 添加图标
修改下图标,将其修改为常规软件的图标,将刚才的图标拖进去。
这里如果exe没有图标,可以先添加资源
将原始的图标删除,然后保存即可
另存为
使用360查杀
05 UPX加壳
使用upx进行加壳:
加壳之后,一样的被查杀了,因为upx的特征在库里
06 010editor修改特征
使用010editor编辑器修改upx特征,将这三处的特征修改:
可以看到有upx关键字,将其修改为0
保存之后,bypass 360成功。
07 Cobaltstrike免杀实战
7.1 UPX加壳上线
生成exe,这里用的是beacon,正常的监听设置
qq图标位置:
C:\Program Files (x86)\Tencent\QQ\Bin
将其伪装为qq.exe
010改下特征
360没有杀
成功上线
