WanKlii-CSDN博客

WanKlii

码龄1年

个人简介：热衷杀软对抗,疯狂免杀miansha

IP 属地：广东省

查看详细资料

原力等级

成就

当前等级

5

当前总分

1,372

当月

0

个人成就

获得2,575次点赞
内容获得46次评论
获得1,980次收藏
代码片获得2,066次分享

兴趣领域设置

网络空间安全

网络安全网络攻击模型

创作活动更多

如何做好一份技术文档？

无论你是技术大神还是初涉此领域的新手，都欢迎分享你的宝贵经验、独到见解与创新方法，为技术传播之路点亮明灯！

174人参与去创作

搜TA的内容

免杀笔记 ---＞ CheckAV-BOF ！！

我们在实战中常常会通过钓鱼 || 漏洞来获取一些终端的设别，这时候我们需要去对此终端进行杀软的检测（从而决定我们怎么后续操作）于是我就写了一款BOF，支持一键CheckAV，赶紧来武装你的CS吧！

发布博客 2024.11.20 ·

免杀笔记 ---＞无痕Hook？硬件断点 Syscall！

说到Hook，我们有很多Hook，像Inline-Hook，我们也是用的比较多，但是正如我上一篇Blog说的，他会对内存进行修改，如果EDR或者AV增加一个校验机制，不断检验某一块内存，那么就算你用syscall绕过了Ring3的Hook成功修改了内存也是会被扫描出来的！于是就有了今天的无痕Hook --->硬件断点其实也是小编收到了粉丝的建议，于是赶出来了那个代码，但是这个技术是未公开的，所以小编就不放代码，但是会公布部分，以及一些细节（我也不想这个技术那么快没用，望理解😋）

发布博客 2024.09.26 ·

免杀笔记 ---＞一种有想法的Indirect-Syscall

今天来分享一下，看到的一种Indirect-Syscall，也是两年前的项目了，但是也是能学到思路，从中也是能感受到杀软对抗之间的乐趣！！说到乐趣，让我想起看到过一位大佬的文章对"游褒禅山记"的段落引用，这里也深有同感，或许乐趣就在其中吧！！而世之奇伟、瑰怪，非常之观，常在于险远，而人之所罕至焉，故非有志者不能至也！

发布博客 2024.09.25 ·

杀软对抗 ---＞ Perfect Syscall??

好久没更了，今天想起来更新了😋😋😋😋在开始之前先来展示一下这次的免杀效果。

发布博客 2024.09.23 ·

免杀笔记 ---＞ CS特性角度看Veh免杀

前一段时间在玩WBGlIl大佬以前发的一篇过卡巴的思路（虽然现在不过了），但是在研究的时候发现如果我们我们在没有CS的特性基础下直接看这篇文章，或者说你去魔改他的脚本是不太可能的，刚好就来普及一下这个CS的一些简单特性！（如有说错，请大佬们纠正）

发布博客 2024.08.27 ·

杀软对抗 ----＞你真的免杀火绒了吗？

玩免杀的都知道，我们说到国产，基本上都是360，对于火绒，是非常好过的（一个动态调用就过了，没啥好说的），但是！！！！新版的火绒新增了一个功能！！内存扫描！！！这时候某顶级EDR就第一个不服了我们众所周知，卡巴斯基的内存扫描是特别强大的！！网上很多人的用cs说什么技术能直接绕过卡巴斯基上线大部分都是假的（内存扫描一扫就挂）而且cs的流量早就被研究的死死的了，就算你配上C2Profile也是存活不久！！！

发布博客 2024.08.25 ·

杀软对抗 ----＞简单魔改HellsGate能Bypass所有杀软？

以上展示了我们一些AV和EDR对抗，至于为什么没有XDR，那是因为我没有（不过就算有也应该对抗不过），可以看出地狱之门这种调用链下，能bypass掉市面上的所有杀软不包含一些EDR和XDR！），就算有一些杀软，像Symantec和Kaspersky能当时被Bypass，有可能后面就要杀或者说只是侥幸上线而已（这两款没有栈回溯吗？？？），真正去对抗这些杀软，应该是自研C2（或者你把CS二开的面目全非）调用链复杂，不是简单明了的那种垃圾调用链。

发布博客 2024.08.12 ·

免杀笔记---＞地狱之门(Hell ‘s Gate)保姆级解析

还记得我前面一篇文章讲到的在Ring3 对抗Hook吗？？我讲到的一种方法就是系统调用！！那么今天就来讲一下一个很出名的直接系统调用(Syscall)-----> [!] 地狱之门（Hell 's Gate）[!1.Syscall好像在上一篇文章里面提到过一下我们的syscall，系统调用当然，它的原型是下面这样的，只不过大部分的现在计算机都是用的syscall而不是通过int 2e（中断门）的形式去进入Ring 0了由于这个过程并。

发布博客 2024.08.10 ·

杀软对抗 ---＞Bypass Ring3 Hook的魅力

The Charm Of By Passing Ring3 Hook！！

发布博客 2024.08.08 ·

免杀笔记 ---＞函数踩踏 && PEB寻址

又鸽了一段时间了，最近在写这个武器，感兴趣的师傅们可以去看看（顺便给我点个Star）：：累死我了，点个Star吧那么言归正传，我们来讲今天的主题，函数踩踏 && PEB寻址。

发布博客 2024.08.03 ·

免杀笔记 ----＞签名 &&ico添加

以前不是经常开玩笑说什么发一个简历.exe 吗，今天就来教一下大家怎么实现。

发布博客 2024.07.30 ·

免杀笔记 ----＞映射注入

在了解映射注入之前，我们先来了解一下映射内存内存映射（Memory Mapping）是一种将文件内容映射到进程的虚拟地址空间的技术。在这种机制下，文件可以被视为内存的一部分，从而允许程序直接对这部分内存进行读写操作，而无需传统的文件 I/O 调用。这种方法不仅简化了文件操作，还提高了处理效率。这里，我们讲本地映射注入，大致步骤如下创建文件映射的对象用指针接受文件映射的虚拟地址将我们的shellcode拷贝到这个虚拟地址创建线程或者指针调用。

发布博客 2024.07.28 ·

免杀笔记 --＞API的整理&&Shellcode加密(过DeFender)

最近更新频率明显下降，那么今天就来记录一下我们的一些常用的API的整理以及ShellCode的加密。

发布博客 2024.07.24 ·

免杀笔记 ----＞动态调用

前一段时间不是说要进行IAT表的隐藏吗，终于给我逮到时间来写了，今天就来先将最简单的一种方式 ----> 动态调用！！！

发布博客 2024.07.14 ·

免杀笔记 ---＞ APC注入

除了我们前面讲的DLL注入，还有一个APC注入的东西也是很重要的！！：：确实很重要，相应的，在跟新完今天的代码之后，我也会对应的进行Github上工具的更新！！

发布博客 2024.07.10 ·

免杀笔记 ---＞ Session0--DLL注入

刚更新完上一篇，于是我们就马不停蹄的去跟新下一篇！！Session0注入这次，我把这个脚本直接传到Github上了喜欢的师傅点个Star噢 (❤ ω ❤)whoami-juruo/DLLInjectTools: 一款集成了窃取令牌和从Session0和3进行DLL注入的工具。

发布博客 2024.07.07 ·

免杀笔记 ----＞ DLL注入

这段时间我们暂时没什么事情干的话我们就继续更新我们的免杀笔记力！！！：今天我们讲DLL注入。

发布博客 2024.07.06 ·

免杀笔记 ----＞ ShellCode Loader !!!

学了那么久的前置知识，终于到了能上线的地方了！！！不过这里还没到免杀的部分，距离bypass一众的杀毒软件还有很长的路要走！！

发布博客 2024.07.05 ·

免杀笔记 ---＞ PE

重生之免杀在学PE

发布博客 2024.07.04 ·

免杀笔记 ---＞ C语言

这次的更新可能有点慢，因为这段时间也比较忙，加上C语言还得和汇编结合，导致小编一个知识点总是得反复揣摩（太菜了），所以免杀的更新篇幅长度可能会达到两个月和三个月，但是小编能保证，只要你能看懂这些笔记，那么我包你能过360的！！！

发布博客 2024.06.22 ·