杀软对抗 ----> 你真的免杀火绒了吗?

已于 2024-08-26 20:22:06 修改
阅读量788 收藏 24
点赞数 15
文章标签: 火绒安全 绕AV 免杀
于 2024-08-25 14:31:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huohaowen/article/details/141528427
版权

目录

1.白加黑?syscall? ......绕过火绒???

2.内存对抗

​3.CS已死 ??? 是真的 !

玩免杀的都知道,我们说到国产,基本上都是360,对于火绒,是非常好过的(一个动态调用就过了,没啥好说的),但是!!!! 新版的火绒新增了一个功能!! 

                                                                  内存扫描 !!!

这时候某顶级EDR就第一个不服了

 :????? 要不你来座我的位置?????

我们众所周知,卡巴斯基的内存扫描是特别强大的 !! 网上很多人的用cs说什么技术能直接绕过卡巴斯基上线大部分都是假的(内存扫描一扫就挂)而且cs的流量早就被研究的死死的了,就算你配上C2Profile也是存活不久 !!! 

1.白加黑?syscall? ......绕过火绒???

看到网上很多技术,各种loader都说绕过了火绒上线(确实上线了,也没有告警),但是真的如此吗????

上图是我用的一个白加黑 + syscall + C2 Profile 上线的火绒,也是全程没有告警的,执行命令也没问题,目前很多人以为已经绕过了!!但是真的绕过了吗???

 ::去看看安全日志吧孩子

他只不过是扫出来了,但是没有告警罢了!!! 这时候你想去执行一些hashdump logonpasswords这种cs自带的操作也是会被拦截的!!!

如果别人去看安全日志的话,你还是直接寄的!!!(不过也不排除别人不看你成功上线的可能性吧) 。

那么话又说回来了,真的就对抗不了了吗 ???? NO!!!

2.内存对抗

这里不会分享代码(其实也很简单就是对CS的第三块内存进行加密)

这里参考的是WBGIII大佬的Veh + HOOK 的思路,最后魔改了一下(去掉特征配和加密)

cs bypass卡巴斯基内存查杀 2 - 先知社区 (aliyun.com)icon-default.png?t=N7T8https://xz.aliyun.com/t/9399?time__1311=n4%2BxnD0DuAK7qD55BKDsA3O4m2Df22qY5XoA%3D%2BQx这里也是上线了,但是安全日志没有任何的反应!!

这时候我们再去Hashdump,可以看见是能成功Dump下来的!! 

应该说这样,才算是真正的Bypass了火绒!!!!(当然方法不止一种,还有其他的思路,这里仅仅提到了一种)

3.CS已死 ??? 是真的 !

有人说,那既然你绕过了内存扫描,那你不就是直接绕过了卡巴斯基了吗 ??? 那么我们试验一下就知道了!!

还是刚才的Loader ,上线时没什么问题的,但是被杀的是什么时候呢,执行命令!!!

 个人觉得被杀点应该如下(小白如果说错勿喷)

  1. 流量被杀,这里我已经配了C2Profile了,对流量进行了一定的规避,但是CS在不动源码的情况下基本上配了Profile特征也还是很明显(或者说Profile的某些选项即使一个特征!!这个我下一篇Blog来讲)
  2. 行为被杀 ,这里是Veh + Hook ,估计这种通过抛异常,hook Sleep来改内存属性的应该已经是被分析透了,刚公布的时候可能还有用,但是现在应该已经是用处不大了(对于卡巴)
  3. 可能我这只CS的流量特征已经被记录了(以前我刚配好Profile的时候就算不用这种方式去面对卡巴也不会立刻被杀,估计是我这只Profile流量被记录了,你们自己写一个用同样Loader试试看就知道是不是这个原因了!!)
  4. 可能我没用白加黑,信誉度不高,白加黑有可能会好那么一点。

当然,除了上面的Veh + Hook +C2profile + 第三块内存的加密 这种方法,还有很多(网上的手法) 但是无论如何,就算你把CS开的面目全非,加上一些顶尖的手法,CS也是活不久的,所以还是呼应这个标题 CS已死 ????? 是真的 !!! 换C2或者自研C2才是唯一的出路(引用我的一个师傅的一句话hhhhh)     怎么绕过卡巴斯基???? (不用CS!!!)

WanKING~~
关注
免杀Bypass!可过WDF/360/火绒的C#混淆器
潇湘信安的博客
04-10 758
一个可用于免杀过WDF/360/火绒的C#混淆器,但只能混淆.Net Framework应用程序。
免杀笔记 --- CS特性角度看Veh免杀
huohaowen的博客
08-27 688
前一段时间在玩WBGlIl大佬以前发的一篇过卡巴的思路(虽然现在不过了),但是在研究的时候发现如果我们我们在没有CS的特性基础下直接看这篇文章,或者说你去魔改他的脚本是不太可能的,刚好就来普及一下这个CS的一些简单特性!(如有说错,请大佬们纠正)
红队培训班作业 | 免杀过360和火绒 四种方法大对比
Ms08067安全实验室
08-16 2969
文章来源|MS08067 红队培训班第12节课作业本文作者:汤浩荡(红队培训班1期学员)按老师要求尝试完成布置的作业如下:环境准备:Kali linux安装cs4.2,Windows7系统...
2023最新使用python进行shellcode免杀过360火绒 ,反虚拟机
weixin_47111262的博客
03-20 1081
本源码仅供学习交流,不得用于违法范围,本源码已放到QQ交流群 群文件中QQ群:798134185。反虚拟机方案根据虚拟机系统文件 cpu核心数 开机启动时间 c盘大小判断。将加密的shellcode复制到shell.py中进行替换。生成c语言的payload使用encode.py进行加密。修改main.py的IP地址为c2服务器地址。使用pyinstaller进行打包。bypass火绒 360。python版本3.11。2023最新免杀
免杀火绒
sash1mi
02-04 2355
免杀火绒 接上篇文章《免杀过360全家桶》 https://blog.csdn.net/weixin_46676743/article/details/113350500 1.cs建立监听 2.生成payload 3.将生成的payload放到kali里编译 4.FourEye编译 项目地址与具体使用方法: https://github.com/lengjibo/FourEye 注意:一定要按照此工具的编译规则install gcc!! 5.火绒查杀 360查杀 6.cs上线 .
c语言免杀火绒
记录学习,一起进步
11-18 757
c语言随机数异或加密免杀
PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)
xf555er的博客
01-07 2370
Invoke-Obfuscation工具下载地址: https://github.com/danielbohannon/Invoke-ObfuscationInvoke-Obfuscation是一款PowerShell混淆工具,可以将PowerShell脚本加密,使得它的检测和分析变得更加困难。该工具包含多种加密方法,可以单独使用也可以结合使用,以提高混淆的效果。
使用msfvenom免杀火绒
2301_76718200的博客
11-11 996
本篇文章将会用msfvenom生成一个windows下可执行木马exe的文件,用kali监听,靶机win。2、再使用msfvenom生成一个捆绑可以被windows执行的exe木马文件。3、把刚刚生成的exe木马文件传输到我们的win11物理机上。1、首先到火绒官网上下载个火绒安装包后放到kali中。#修改成我们之前生成木马时使用的payload。前提把杀软关闭要不然会杀掉,没有做免杀的木马。靶机,启动火绒点击我们编译过的木马程序。点击后就连接上我们的kali攻击机了。#设置kali的IP地址为监听地址。
免杀对抗-无文件落地&分离拆分-文本提取+加载器分离+参数协议化+图片隐写
xiaoheizi的博客
09-24 1608
无文件落地&分离拆分其实就是内存免杀内存免杀是将shellcode直接加载进内存,由于没有文件落地,因此可以过文件扫描策略的查杀。为了使内存免杀的效果更好,在申请内存时一般采用渐进式申请一块可读写内存,在运行时改为可执行,在执行的时候遵循分离免杀的思想。分离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的shellcode通过分块传输的方法上传然后再拼接,这些体现了基本的”分离“思想。3.因为实战的时候不需要加密,所以就代码中的加密代码剔除,减少特征。
免杀对抗—Powershell混淆&分离免杀&特征修改&填充替换
最新发布
2301_76227305的博客
09-30 746
总的来说powershell免杀的效果要比shellcode要好,上面讲的方法都是通用的,在python混淆免杀的时候,也可以利用python进行分离免杀,或者无文件落地。免杀的思路远远不止这些,会有越来越多的免杀思路,而杀软也会不断迭代升级,二者是相互成长的。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
文件夹exe病毒专杀
05-11
单位近期又泛滥优盘病毒,几乎所有都电脑都被感染,症状为:优盘所有原有文件夹都被隐藏,同时病毒在优盘内产生与现有文件夹同名的且后缀名为EXE的文件夹,包括AUTORUN.INF.EXE和RECYCLER.exe的文件夹,后缀名被隐藏,文件大小都为1.17M, 删除后再插入无法显示盘符,再插入一遍,优盘被强制打开,同时资源管理器也打开优盘,病毒依然……。 如果你出现的问题和我遇到的一样,请你下载这个软件,绝对好用,无论电脑系统中的,还是U盘中的文件夹.EXE病毒,瞬间清除,并可以保证源文件不受丝毫的寻坏。更多下载请到http://www.centeros.net
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1454
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
TideSec远控免杀学习四(BackDoor-Factory+Avet+TheFatRat)
fa1lr4in的小博客
02-12 3366
BackDoor-Factory 介绍 BackDoor-factory,又称后门工厂(BDF),BDF是也是一款老牌的免杀神器,其作者曾经在2015年的blackhat大会上介绍过该工具。但是作者已经于2017年停止更新,免杀效果就算现在来看也还算不错的。 原理:可执行二进制文件中有大量的00,这些00是不包含数据的,将这些数据替换成payload,并且在程序执行的时候,jmp到代码段,来...
APT级全面免杀与企业纵深防御体系的红蓝对抗
悦分享
08-03 720
本文通过模拟APT演示了高级威胁的全面免杀能力,并站在防御者角度思考如何发现、检测和防御高级威胁攻击,从而了解到攻防的对抗性,体会了企业建设纵深防御体系的重要性。
杀软(二)——免杀exe文件(360、火绒免杀
热门推荐
W小哥
06-12 1万+
攻击机: win7 IP: 192.168.32.134 靶机: windows server 2012(安装360、火绒) IP: 192.168.32.133第一步:使用njRAT生产一个客户端exe木马 输入回连端口号8888,点击start 配置客户端木马的回连地址:192.168.32.134 将文件保存在桌面 开启360杀毒,直接报毒,不免杀 1、将生成的客户端木马:Server.exe在 Encryption Tool V3.0中以base64加密方式打开 打开之后,将base6
Powershell 过火绒免杀上线
春日野穹
01-10 5266
引言 拿到一台位于阿里云主机的shell,为IIS权限需要上线cs提权,主机自带阿里云盾和Windows Defender、且安装了火绒,为方便后续操作,需要进一步提权。 powershell免杀制作 payload生成 原生payload生成后被无情秒杀 powershell免杀制作 打开powershell命令行,将payload编码 1.新建一个变量h,用来接收之后编码的payload $h= '' 2.把FromBase64String放入变量$k中 $k=[System.Convert]
简单免杀火绒、360极速版
摔不死的笨鸟的博客
03-03 1961
免杀
学习记录:内网穿透+ShellCode+C++语言二次编译 免杀火绒 渗透Win10提取密码
qq_60709081的博客
06-24 2487
攻击机:Kali (虚拟机)靶机: Windows 10 22H2 版本 10.0.19045(物理机)工具:MSF,VS,花生壳通过C++二次编译制作免杀木马,火绒检测,实现对靶机的控制,windows本地提权,获取并破解用户密码。今天又进步了一点点,之后打算去打基础了,一步一步来。但毕竟做任何事都要有些动力的,做一个ScriptsKids反倒可以增加自己的兴趣和动力呢。🎉✨免责声明:本文仅作学习、深研而用,若有犯罪行为,一切后果自负,与本文作者无关。
kali木马免杀火绒
10-07
k木马免杀火绒是指在kali系统中使用火绒进行木马免杀的操作。火绒是一款知名的安全防护软件,可以帮助检测和阻止恶意软件的运行。然而,针对火绒免杀技术是不断发展和变化的,所以具体的免杀方法可能会有所不同。在使用kali进行木马免杀时,您可以尝试以下方法: 1. 使用加壳工具:加壳工具可以将木马程序进行加密和混淆,从而火绒的检测。您可以使用工具如shelter来对木马程序进行加壳操作,以增加木马的免杀能力。 2. 修改木马特征:火绒通常会根据木马程序的特征进行识别和拦截,所以您可以修改木马的特征,使其不易被火绒检测到。例如,您可以修改木马的关键函数或变量名称,或者使用代码混淆技术来增加木马的免杀能力。 3. 使用免杀工具:kali系统中有一些专门用于木马免杀的工具,您可以尝试使用这些工具来生成免杀的木马程序。例如,您可以使用powerstager等工具来生成免杀的木马,然后再进行火绒的测试。 总之,木马免杀是一个不断演进和变化的领域,没有绝对的免杀方法。在进行免杀操作时,建议您时刻关注最新的免杀技术和工具,并保持对火绒等防护软件的了解,以提高木马的免杀能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值