C2免杀--C2软件免杀前置知识

最新推荐文章于 2024-09-13 19:41:32 发布
最新推荐文章于 2024-09-13 19:41:32 发布
阅读量536 收藏 15
点赞数 11
分类专栏: # 免杀对抗 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79590880/article/details/141938519
版权

前言

欢迎来到我的博客

个人主页:北岭敲键盘的荒漠猫-CSDN博客

 本文主要整理木马后门类免杀的基础前置知识

内容也不多,文章比较短

大体做个免杀了解

 杀软查杀点位

1.静态查杀:直观理解为,我们msf之类的生成的木马模板相同,他只要看这个文件与自己库中病毒文件特征匹配,那么就是木马杀除。

2.动态查杀:直观理解为,有些工具的木马特征都会开启某个线程,或者都会在运行中做什么事情,杀软通过这个软件运行时的行为来判断查杀木马。

3.流量监控:木马在执行是,流量中明显存在一些不该有的参数等,判断木马。

4.行为监控:木马执行一些敏感操作,比如注册表,提权等。判断木马。

常见杀软特点

转载

#常见杀软特点如下:

火绒:静态查杀能力弱,没有动态查杀,横向移动防护比较强,frp等内网穿透受影响。

360安全卫士/360杀毒:静态查杀能力较强,没有动态查杀,如果开启了核晶模式,则行为查杀比较强,注入进程等敏感行为会被拦截;核晶模式在物理机中默认开启,在虚拟机中默认关闭。

360QVM:360QVM 简单的说就是使用了机器学习辅助查杀,在360杀毒引擎设置中开启 360QVM 后静态查杀会变得非常流氓,有一点特征就会被查杀。

Windows Defender:静态查杀能力较强,动态查杀较强,监控 HTTP 流量。

卡巴斯基:普通版静态查杀能力一般,企业版静态查杀能力较强,动态查杀较强。

ESET:静态查杀能力较强,没有动态查杀。

#按照静态查杀能力强弱排列如下:

火绒 < 360安全卫士、360杀毒、Windows Defender、卡巴斯基标准版 < 卡巴斯基企业版、ESET < 360QVM。

目前见过静态查杀能力最强的属360QVM,连国外的杀软都有所不及,可以说360QVM是非常流氓的了。

#按照动态查杀能力强弱排列如下:

火绒、360、ESET < 卡巴斯基 < Windows Defender。

火绒、360、ESET 这几个没有动态查杀。

常用的免杀语言

c/c++

python

go

汇编

越底层的语言编写出来的免杀shell越轻便小巧。

python免杀的可能会有点大,但是python库多易上手。

木马的构成

简单构建一下木马的结构吧~

shellcode+加载器=exe文件。

shellcode是一个尽可能小的机器代码。

加载器是用来执行shellcode的。

最终打包exe文件。

我们要免杀就是从这三方面入手。

北岭敲键盘的荒漠猫
关注
专栏目录
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1248
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
小迪安全-免杀对抗+红队APT
m0_73767545的博客
06-03 357
就是利用字眼,对官网域名进行修改,在.com后加上其他字符,例如.com.cn。判断邮箱是否有spf验证(对IP进行校验,满足即可发送),如果无即可伪造。nslookup -type=txt 邮箱域名后缀。
前置技术C2隐藏
蚁景网安学院
11-09 1516
前置又译为域名幌子,是一种隐藏连接真实端点来规避的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。
杀软对抗 ----> 简单魔改HellsGate能Bypass所有杀软?
huohaowen的博客
08-12 975
以上展示了我们一些AV和EDR对抗,至于为什么没有XDR,那是因为我没有(不过就算有也应该对抗不过),可以看出地狱之门这种调用链下,能bypass掉市面上的所有杀软不包含一些EDR和XDR!) ,就算有一些杀软,像Symantec和Kaspersky能当时被Bypass,有可能后面就要杀或者说只是侥幸上线而已(这两款没有栈回溯吗???),真正去对抗这些杀软,应该是自研C2(或者你把CS二开的面目全非)调用链复杂,不是简单明了的那种垃圾调用链。
c2-00支持java_双卡超长待机 经典实用诺基亚C2-00图赏
weixin_42498006的博客
02-24 385
1经典的直板T9键盘设计高端智能手机被苹果和Android高端旗舰机所把持,而入门级手机则主要是千元级的Android智能手机,似乎1000元还不够诚意,OK,诺基亚C2-00这款完全为打接电话和收发短信而生的,几乎就是实用的代名词。诺基亚C2-00采用经典的直板T9数字键盘设计,方头方脑的设计比较古典,扎实的塑料机身更是不负诺基亚抗摔耐造的美名。这款诺基亚C2-00的表现如何,我们下面详细来看。...
网络安全-渗透测试前置知识
a732072213的博客
10-29 4136
一些行业术语的扫盲,黑话集合~
测试渗透前置知识-行业术语
TianYao
02-10 7387
测试渗透前置知识-行业术语1.肉鸡3.远控4.黑页5.挂马6.大马7.小马8.一句话后门9.后门10.拖库11.社工库12.撞库13.提权14.网络钓鱼15.社会工程学攻击16.rootkit17.IPC$18.弱口令19.默认共享20.shell21.交互式shell22.webshell23.溢出24.注入25.注入点26.旁站入侵27.C段渗透28.内网:29.外网30.中间人攻击31.端口32.免杀33.加壳34.花指令35.TCP/IP36.蜜罐37.拒绝服务攻击38.CC攻击39.脚本注入攻击(
08.C2W3.Auto-complete and Language Models
老毛的博客
07-09 1062
往期文章请点。
c++ 重载前置++ 与 前置--
qq_20880939的博客
11-16 390
#include<iostream> using namespace std; // 重载前置++ 前置-- 运算符 class Complex { private: int a; int b; friend Complex& operator++(Complex& c1); public: Complex(int a, int b) { this-&g...
chkdfront:检查域名前置(chkdfront)-它检查您的域名前置是否正常
01-28
检查域名前置(chkdfront) chkdfront通过针对您的域前端域测试目标域(前端域)来检查您的域前端是否正常运行。 MMMMMMMMMMMMMWNK0kdolc;,' ;KMMMMMMMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMN0xl;'. ...
横道网络图-网络图c2.zip
09-03
这种依赖关系可以是前置关系(A必须先完成,B才能开始)或后续关系(B必须等待A完成)。 8. **关键路径**:项目中决定最短完成时间的一系列任务,任何延迟都会导致整个项目延期。关键路径上的任务没有浮动时间,...
红队培训班作业 | 免杀过360和火绒 四种方法大对比
Ms08067安全实验室
08-16 2944
文章来源|MS08067 红队培训班第12节课作业本文作者:汤浩荡(红队培训班1期学员)按老师要求尝试完成布置的作业如下:环境准备:Kali linux安装cs4.2,Windows7系统...
【双语新闻】AGI安全与对齐,DeepMind近期工作
最新发布
qq_29883477的博客
09-13 646
的开发和运行,包括危险能力评估)。这还没有达到我们的需求:诚实策略的时间复杂度只在人类可判断的论证长度上是多项式的,而我们希望它在AI可判断的论证长度上是高效的。我们已经看到了一些使用Tracr的例子,但其使用的范围并没有如我们所希望的那样广泛,因为由Tracr生成的模型与在野外训练的模型有很大的不同。:尽管这项工作未能实现其雄心勃勃的目标,即在超置的早期MLP层中机械地理解事实是如何计算的,但它确实提供了进一步的证据表明超置正在发生,并否定了关于事实回忆可能如何运作的一些简单假设。
2024网络安全人才实战能力白皮书安全测试评估篇
2301_76786857的博客
09-13 525
据了解,白皮书通过大量一线网络安全从业人员、网络安全相关专业在校学生问卷调研数据及网络安全人才测评演练数据分析,呈现供给侧、需求侧安全测试评估人才的基本情况、培养情况和岗位实践,并以理论与实践相结合的方式创新提出了一套立体化综合评价安全测评人才能力的——GPE方法,为数字中国建设中的安全测试评估人才培养和评价提供可行方案。当前,在政治、经济、文化和社会安全等多个领域相互交织影响的背景下,网络安全测评是政府保障国家安全和社会稳定的重要手段之一,社会急需网络安全测评人才,防范化解风险提供安全保障。
零信任安全:重新思考数字世界的访问
网络研究观
09-09 855
零信任安全在当前数字时代的关键重要性和有效性,将其作为增强网络安全弹性的基本战略。‍
Boot header格式描述详细信息。CSU DMA用于数据传输。安全流开关允许数据移动。PL配置通过PCAP接口。PL bit流包含设备配置数据。
lsh11111的博客
09-13 331
此外,BootROM可以使用8位并行配置中的宽度检测参数值和image识别参数值来检测Quad-SPI接口的预期I/O宽度。在Quad-SPI引导过程中,BootROM会根据宽度检测参数值来选择相应的I/O配置,以确保正确访问Quad-SPI设备。- Reserved for interrupts: 用于存储中断相关信息,特别是在LQSPI地址空间中的默认0x01F中断向量被更改时,在XIP启动模式下使用。- 安全头初始化向量: 用于PMU FW和FSBL的安全头的初始化向量。
【免费刷题】实验室安全第一知识题库分享
nulixueBe的博客
09-13 296
人工智能识别上海985大学的实验室安全知识手册,生成题库,直接刷题
【API安全】威胁猎人发布超大流量解决方案
weixin_41829439的博客
09-11 819
威胁猎人超大流量场景API安全解决方案助力合作客户实时发现API风险
电工实习:HX108-2AM收音机制作与调试
"该资源是关于HX108-2收音机的实习课件,主要涉及模电和电工实习内容,旨在让学生掌握电工基础知识和锡焊技术,通过收音机的组装、调试来理解调幅收音机的工作原理。课件中列出了电流测试点的参考值,同时提供了收音...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北岭敲键盘的荒漠猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值