渗透Xiao白帽
渗透Xiao白帽
微信号 SuPejkj
功能介绍 积硅步以致千里,积怠惰以致深渊!
__
收录于话题
以下文章来源于Gamma实验室 ,作者Gamma最强突破手
Gamma实验室
Gamma实验室是专注于网络安全攻防研究的实验室,不定时向外输出技术文章以及自主研发安全工具,技术输出不限于:渗透,内网,红队,免杀,病毒分析,逆向,ctfwp等,实验室只用于技术研究,一切违法犯罪与实验室无关!
点击蓝字关注我哦
前言
最近搞了一个cs免杀的东西出来,主流的杀毒软件,某绒,某0,windows defender都轻松过掉,但是把在测试卡巴全方位版时,成功上线之后就死掉了,我怀疑不是内存查杀,如果是内存查杀,我把shellcode写进去内存的时候,就应该爆肚了,我觉得还是cs上线之后的行为触发卡巴的杀毒机制,就哦豁了。
然后我就在github上面找点项目来参考一下,果然找到一个很不错的项目,这里分享给大家。
免杀实践
项目地址:
https://github.com/ORCA666/EVA2
根据作者描述,这个项目是用来过windows defender的,但是windows defender都能过,那国内的杀软基本是都查杀不出来。
采用的技术有:
- 反调试技术
- 编码的shellcode
- shellode的解密和注入发生在内存中[逐字节],因此被检测到的机会更少
- 使用系统调用
项目还细心配置了**.profile**文件,真不错嗷
1.首先cs生成shellcode,直接生成c文件格式的,64位的(32位不支持)
把生成的shellcode放入encoder.py 文件
python2 运行,获得加密后的shellcode
2.把加密好的shellcode,直接填入项目中
然后编译x64
3.运行效果
轻轻松松上线
4.测试免杀效果
卡巴全方位还是过不了
果然,还是cs的内存特征太明显了,卡巴已经杀烂了,卡巴牛逼,这坚定了我自己写马的决心了。
总结
在绝对的内存查杀,行为查杀面前,变化,加密,都是没有用的,治标不治本,cs的内存特征已经被杀烂了。
但是还是可以,除了卡巴过不了,大多数还是可以顶顶。
重复作者的一句话,第一件事,不要上传云沙箱!!!!!!!!!
反正我无所谓的,我一般都是用我自己的写的马,我也不会分享出来,因为分享出来,几天就没了,感谢大家理解,当然我觉得一些可以分享出来的,我还是毫不保留的分享出来嗷。
END
看完记得点赞,关注哟,爱您!
** 【往期推荐】**
【超详细 | Python】CS免杀-Shellcode Loader原理(python)
【超详细 | 钟馗之眼】ZoomEye- python命令行的使用
【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现
【超详细 | 附PoC】CVE-2021-2109 | Weblogic Server远程代码执行漏洞复现
【漏洞分析 | 附EXP】CVE-2021-21985 VMware vCenter Server 远程代码执行漏洞
【CNVD-2021-30167 | 附PoC】用友NC BeanShell远程代码执行漏洞复现
【超详细】Microsoft Exchange 远程代码执行漏洞复现【CVE-2020-17144】
_
走过路过的大佬们留个关注再走呗_
往期文章有彩蛋哦 ****
一如既往的学习,一如既往的整理,一如即往的分享。
“ 如侵权请私聊公众号删文 ”
预览时标签不可点
收录于话题 #
个 __
上一篇 下一篇
阅读
分享 收藏
赞 在看
____已同步到看一看写下你的想法
前往“发现”-“看一看”浏览“朋友在看”
前往看一看
看一看入口已关闭
在“设置”-“通用”-“发现页管理”打开“看一看”入口
我知道了
__
已发送
取消 __
发送
【干货】CS免杀之信手拈来
最多200字,当前共字
__
发送中
写下你的留言
微信扫一扫
关注该公众号
微信扫一扫
使用小程序
取消 允许
取消 允许
知道了
长按识别前往小程序