首页 > 其他分享 >免杀杂谈

免杀杂谈

时间:2024-04-06 22:11:22浏览次数:23  
标签:上线 免杀 shellcode 杂谈 查杀 html https com

0.零散知识

0x00 添加图标:

尝试了几种大众方法,感觉还是这篇文章的方法好用
https://www.sqlsec.com/2020/10/csexe.html#%E6%B7%BB%E5%8A%A0%E5%9B%BE%E6%A0%87

0x01 添加签名:

sigthief下载地址:https://github.com/secretsquirrel/SigThief
python sigthief.py -i "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" -t C:\Users\xx\Desktop\Project1.exe -o 1.exe

0x02 降低熵值

熵值也是一些杀软查杀的条件之一,把shellcode和loader分开能有效降低熵值

0x03 免杀入门杂谈文章推荐

0x05 隐藏窗口

360会检测这个,例如远程加载shellcode360不会杀,但是加上隐藏窗口会杀,但是我们必须隐藏窗口,所以只能另外修改其他特征,例如隐藏窗口加上远程加载加上异常处理就不会杀
1.ShowWindow(GetConsoleWindow(), SW_HIDE);
2.#pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")
3.我们将主函数改成WinMain,几个参数意义如下:

  • hInstance:当前实例的句柄。
  • hPrevInstance:先前实例的句柄,在现代的Windows系统中这个参数总是NULL。
  • lpCmdLine:命令行参数,是一个指向以空字符结尾的字符串的指针。
  • nCmdShow:指定窗口应该以何种形式显示。
#include <Windows.h>
int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow)
{
    // ... 其他初始化工作 ...

  // 创建窗口并显示
  HWND hWnd = CreateWindow(/* 创建窗口的参数 */);
  ShowWindow(hWnd, SW_HIDE);  // 将窗口隐藏起来
    return 0;
}

0x06 nt、zw等底层函数查询网站

http://undocumented.ntinternals.net/index.html?page=UserMode%2FUndocumented%20Functions%2FMemory%20Management%2FVirtual%20Memory%2FNtProtectVirtualMemory.html

1.杀软总结

参考了橘神的文章和自己的尝试,橘神的博客就是上面浅析杀软系列那一篇。

1x0 eset

  • 上线方面

loader使用shellcode分离的方式

  • 操作方面

不是企业版没碰到有拦截一些常规操作,eset是一个对行为操作极其敏感的杀软。所以在对抗行为检测类杀软的时候,cs尽量使用模块化插件的方式去获取cmd或者pw回显信息。

1x1 卡巴斯基

内存扫描能力很强,默认的cs beacon会被检测

  • 上线方面

修改cs的profile,卡巴接触不多,我也没办法多说什么

  • 操作方面

常规操作是不拦截的

1x2 火绒

  • 上线方面

没啥注意,火绒有本地沙箱内置了一个本地的虚拟化环境,但是感觉火绒沙箱稍微好过

  • 操作方面

不要去做一些乱搞的配置,很容易绕过,不要随意使用提权工具
心跳间隔不要过短

1x3 360

  • 360核心防护

开启了核晶防护之后,需要操作是受限的,大部分的CMD命令是无法使用的,判断是否开启核晶防护,上传EXE执行提升拒绝访问,就算上线了,becaon下运行cmd命令提示拒绝访问

  • 上线方面

如果有核晶防护,DLL白加黑解决上线问题

  • 操作方面

即便有system权限也没办法实现CMD命令注入,就上传我们自己写好的代码进行注入,或者用bof插件进行相关的替代

1x4 windows defender

Defender两个核心: AMSI、ETW。

  • 上线方面

沙箱检测动态查杀有点强,感觉shellcode传到内存一解密就杀,火绒360还不会
针对cs,不要使用stager shellcode ,使用stage shellcode 上线是要立刻被干掉的,用stageless的shellcode。

  • 操作方面

如果出发恶意行为,如提权之类的,会关联到loader程序,上线后可以注入到另外的进程去操作,
使用cs内置的execute-assembly 可能会导致beacon掉线,原因:C#的程序本身是不免杀的,会经过ASMI的扫描

1x5 其他杀软

  • sangfor edr: 静态查杀很强,不会查杀父进程,过了静态就可以乱来
  • 麦咖啡: 麦咖啡静态查杀也很强,没有行为查杀
  • 阿里安骑士:静态一般,但拦截高危cmd操作
  • 趋势科技:监控恶意服务创建,行为检测基本无
  • G01:静态上传不管是exe还是dll都会被杀,有黑名单机制

标签:上线,免杀,shellcode,杂谈,查杀,html,https,com
From: https://www.cnblogs.com/xiaoxin07/p/18118006

相关文章

  • 免杀-静态绕过总结
    2.静态绕过2x0远程分段加载shellcode我最经常使用的一种静态绕过的方法效果:能过火绒360动静态,但是一些添加用户的命令依然会拦截加上隐藏窗口360免不了,火绒还是可以#include<winsock2.h>#include<ws2tcpip.h>#include<Windows.h>#include<stdio.h>#pragmacomme......
  • 红队攻防之PowerShell基础免杀(二)
    Getbusylivingorgetbusydying什么是图片免杀?答:一般情况下,某些AV对图像未执行检测处理。这种情况下,它们可以仅使用有效负载数据来生成新图像,或将有效负载嵌入到现有图像的最低有效字节中,使其看起来像实际图像。这些图像以PNG格式保存,可进行无损压缩,不影响执行有效......
  • 20211317李卓桐Exp3-免杀原理实验报告
    Exp3-免杀原理任务详情1.实践内容(4分+1分附加分)1.1方法(分)正确使用msf编码器,使用msfvenom生成如jar之类的其他文件(1分),veil,加壳工具(1分),使用C+shellcode编程(1分),1.2通过组合应用各种技术实现恶意代码免杀(1分)(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共......
  • 杂谈注意事项
    杂谈注意事项保留小数:cout<<fixed<<setprecision(2)//保留2位PI定义的方法#include<bits/stdc++.h>//加个头文件constdoublePI=acos(-1);分解数位//n为三位数a=n%10;//个位b=n/10%10;//十位c=n/100;//百位判断浮点数是否相等fabs(a-b)<0.00001快速......
  • 第3次实验-免杀原理
    第3次实验1基础问题回答(1)杀软是如何检测出恶意代码的?杀毒软件检测恶意代码的主要方法包括:签名检测:这是最传统的方法,依赖于一个不断更新的恶意软件签名数据库。杀软通过比对文件的特征码(签名)与已知恶意软件的特征码进行匹配来检测恶意代码。行为分析:杀软监控程序的行为,包括对......
  • 内网渗透-免杀
    木马免杀免杀主要是对木马对应的二进制码(shellcode)进行混淆、加密(绕过特征检测),让杀毒软件识别不出来。msfvenom-shellcode使用msf生成shellcode(马对应的16进制),再使用高级语言加载上述生成的shellcode。然后把python程序打包成exe文件msfvenom-pwindows/x64/meterpreter/reve......
  • 红队攻防之exe文件签名免杀
    达则兼善天下,穷则独善其身1、生成cobaltstrikebin文件,选择raw选项。2、使用cobaltstrike分离免杀工具生成loader.exe文件。3、使用UPX对生成的exe文件进行加壳,加壳前后对比文件的大小。4、对loader.exe进行制作并签发证书-数字签名。(1)、检查程序中是否存证书。......
  • 半导体产业产业链布局杂谈
        参考文献链接https://www.hygon.cn/index ......
  • Powershell免杀系列(二)
    powershell的免杀⽅法有很多,对代码进⾏编码是最常⻅的⼀种,这⾥介绍⼀个专⻔⽤来对powershell进⾏编码免杀的框架Invoke-Obfuscation,这也是著名的APT32组织海莲花常⽤的⼀个⼯具。该工具可以对powershell代码进行ASCII/hex/octal/binary/SecureString进行加密混淆。执行如下命......
  • [极客大挑战 2019]LoveSQL(杂谈)
    开启环境以后注意到有两个框,方向确定是sql,这样的话先试试万能密码好了:用户名:1'or1=1#密码:#随意输入就好 出来了一串乱码,尝试解码以后发现什么都不是,接下来尝试不断注入:/check.php?username=admin'orderby3%23&password=1存在/check.php?username=admin'order......