免杀相关
文章平均质量分 61
Shanfenglan7
优秀是一种习惯。
展开
-
dll注入实验
文章目录目的流程写一个dlldll注入参考文章目的让我们的dll程序加载在其他已经运行的程序中。流程1.提权到管理员权限,需要bypassuac。2.根据目标进程的pid使用OpenProcess函数得到进程句柄3.根据进程句柄在目标进程中申请内存VirtualAllocEx4.在目标进程中刚刚申请的内存空间中写入所需参数(Dll的完整路径)WriteProcessMemory5.用GetProcAddress得到LoadLibraryW的模块加载地址6.启动远程线程CreateRemot原创 2021-07-06 17:41:11 · 630 阅读 · 0 评论 -
windows反射dll加载并结合msf上线
文章目录1.常规调用1.1 写一个dll文件1.2 调用刚写的dll2. 使用MemoryModule的方法调用:1.常规调用逻辑:1. 利用loadlibrary函数将dll文件导入。2. 利用GetProcAddress函数找到dll文件中我们想调用的函数的地址。3. 调用。1.1 写一个dll文件#include <Windows.h>VOID msg(VOID){ MessageBox(NULL,TEXT("Test"),TEXT("Hello"),MB_OK);原创 2021-07-05 15:24:10 · 1195 阅读 · 3 评论 -
一种新的免杀方式
文章目录原理遇到的坑代码具体操作参考文章原理利用c#模拟powershell,执行命令。遇到的坑用c#调用system.management.automation.dll实现powershell并执行命令的时候,是在powershell中执行命令,不是在cmd中执行powershell +命令。这个很关键。因此无法添加任何的启动命令例如-w -nop等。代码using System.Collections.ObjectModel;using System.Management.Automa原创 2021-06-30 17:40:18 · 635 阅读 · 0 评论 -
使用powershell免杀上线CS的新方式---利用图片
文章目录利用工具模拟上线参考文章利用工具Invoke-PSImage任意一张图片模拟上线参考文章Shellcode隐写到预期RGB免杀上线到CobaltStrike原创 2021-04-06 18:13:11 · 5724 阅读 · 3 评论 -
利用一个完全安全的C#文件下载远程木马到内存进行执行
CATALOG前言免杀效果代码详解原理解释前言拿到一台主机的shell后,我们一般会想办法“升级”shell,最常见的是上传一个CS的木马,这样对我们的后渗透工作会十分方便。代码实现:sflcsharp免杀效果绝大多数都是不查杀的代码详解using System;using System.Collections.Generic;using System.Text;using System.Threading.Tasks;using System;using System.IO;u原创 2020-09-23 18:16:29 · 149926 阅读 · 8 评论 -
不用powershell执行powershell脚本与xsl文件不落地上线
CATALOG前言powershell的本质小试牛刀前言前几天在学习windows命名管道的时候偶然看到一篇文章:we don’t neet powershell.exe作者提供了一种特殊的运行powershell脚本的方式,这种方式既有趣又实用,是通过c#来实现的,因此这也坚定了我学习c#的步伐。powershell的本质我们都知道powershell是一个exe程序,它可以执行自己的命令或者powershell脚本。其实powershell的本质就是解释器,类似于python。python原创 2020-09-14 14:32:48 · 170526 阅读 · 6 评论 -
远程加载含有恶意代码的word模版文件上线CS
原理将直接加载远程带有宏的恶意模版使用。缺点目标主机的网速决定了加载远程模版的速度。有可能文件打开的会特别慢(例如将远程模版放在github),受害者可能在文件打开一半的时候强制关闭word。优点因为是远程加载,所以免杀效果十分不错。基本不会被杀毒软件拦截。实现第一步:制作一个恶意的模版并确保能够上线这里以cs的宏木马为例。获取到恶意的VB代码后打开word,在工具栏的空白区域右键,点击自定义功能区勾选开发工具选项。此时就会出现开发工具这一栏此时点击Visual basi原创 2020-08-31 15:12:25 · 239863 阅读 · 14 评论 -
利用msbuild命令执行文件上线CS
实现效果原理Use MSBuild To Do More可以简单的理解为,windows下的msbuild命令可以执行内容为特定格式的文件。在.NET Framework 4.0中支持了一项新功能”Inline Tasks”,被包含在元素UsingTask中,可用来在xml文件中执行c#代码。用途因为这种方式不限制文件的后缀名,只要内容格式符合要求即可。所以可以几乎所有绕过白名单检测来执行shellcode,可在一定程度上达到免杀效果。文件参考<Project ToolsVersio原创 2020-08-28 15:59:14 · 259697 阅读 · 6 评论 -
免杀简述2(二次编译shellcode\远程加载shellcode\shellcode远程线程注入\内存申请优化\管道技术)
二次编译也可以理解成shellcode混淆,将shellcode执行前进行各种加密,然后执行的时候进行解密。Xor就是一个例子。原理是先将加密后的shellcode写入程序中,然后再在程序里面写入shellcode解密程序,这样子将shellcode混淆后,特征码等各种数值就会改变,可以绕过大部分的静态查杀,加密方法不限制,自己写也是可以的。Exp:xor加密shellcode代码:#include stdio.h#define KEY 0x97 //进行异或的字符unsigned char原创 2020-08-09 01:51:23 · 334031 阅读 · 2 评论 -
免杀简述1(花指令/改特征码/shellcode加载器)
杀毒软件查杀思路杀软常见扫描方式与技术1、扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。2、程序窜改防护:即是避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑。3、修复技术:即是对恶意程序所损坏的文件进行还原4、急救盘杀毒:利用空白U盘制作急救启动盘,来检测电脑病毒。5、智能扫描:扫描最常用的磁盘,系统关键位置,耗时较短。6、全盘扫描:扫描电脑全部磁盘,耗时较长。7、勒索软件防护:保护电脑中的文件不被黑客恶意加密。8、开机扫描:当电脑开机时自动进行扫描,可以扫描压缩文档和可能不原创 2020-08-09 00:32:00 · 343320 阅读 · 2 评论 -
PE文件结构简述
简述:PE文件结构分为五个部分:DOS文件头DOS加载模块PE文件头区段表区段PE文件中显示的所有地址基本都是RVA,倘若想要换算成VA一般需要加上基地址ImageBase与文件偏移地址RVA。虚拟地址(VA=virtual address):每个32位PE文件被加载到内存的时候都会被分配4GB的虚拟内存,虚拟地址等于“程序的相对虚拟地址+基地址”。相对虚拟地址(RVA=relatively virtual address):相对虚拟地址是相比较于文件开头的地原创 2020-08-03 15:31:11 · 349978 阅读 · 1 评论