通过远程加载AES + XOR异或加密shellcode的免杀加载器,无过多技术细节。
| shellcode | 360杀毒 | 火绒 | Defender | 腾讯电脑管家 | VT |
|---|---|---|---|---|---|
| Meterpreter | √ | √ | √ | √ | 13/69 |
| Cobalt Strike | √ | √ | √ | √ | 13/69 |
推荐Meterpreter生成shellcode,Cobalt Strike在尝试远程加载的shellcode时可能被360拦截
可自行加壳或修改程序尝试
releases程序可能会被杀软hash标记,保证免杀效果请自行编译
如果你不知道怎么做,不推荐使用该程序
- 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
- 水平不高,纯萌新刚刚开始研究免杀,面向Github编程借鉴了很多大佬的代码。
- 目前测试通过360、火绒、腾讯电脑管家、Defender。其他自行测试
- 编译BypassLoad和Encrypt
- 将shellcode写入shellcode.txt然后运行Encrypt.exe进行加密编码(注意需要手动去除换行)
- 将Encrypt.exe加密编码后的数据上传至服务器
- 将远程访问链接写入webpath.txt
- 运行BypassLoad.exe
注意:存在一段if判断内存是否小于4G,进行简单的反沙箱判断。
2024年03月11日
- 更新2.0 使用.Net内置函数替换原有使用的Windows函数
2024年01月29日
- 效果优化,更换加载方式
- 不再提供releases,请自行编译
2024年01月26日
- 效果优化
- 请不要将程序放入沙箱,以延长免杀时间
2024年01月24日
- 效果优化,现已免杀Defender
- 现在基于.NET Framework4.7.2框架
- 移除了一段无效代码
