免杀对抗
Ch4ser
Just keep chasing!
展开
-
第120天:免杀对抗-防朔源&防流量&防特征&CDN节点&SSL证书&OSS存储&上线
1 、防朔源拉黑-CDN节点-上线当设置木马远程连接的地址是本机真实ip时,对方可以用火绒剑等工具看到网络外联,当其拉黑ip后我们便不能正常通信了使用cdn节点让木马远程连接地址是我们注册的域名时,就算其拉黑某个cdn节点的ip,其他的cdn节点ip也会顶替上来,还是能够正常通信可在godaddy上注册域名(便宜),在cloudflare上注册cdn(免费) 2 、防特征审计-SSL证书-上线默认上线使用的是cs自带的SSL证书,有明显的cs特征。原创 2023-07-30 00:06:11 · 363 阅读 · 0 评论 -
第119天:免杀对抗-二开CS&Shellcode函数修改&生成模版修改&反编译重打包(下)
【代码】第119天:免杀对抗-二开CS&Shellcode函数修改&生成模版修改&反编译重打包(下)原创 2023-07-26 00:47:08 · 350 阅读 · 0 评论 -
第118天:免杀对抗-二开CS&上线流量特征&Shellcode生成机制&反编译重打包(上)
魔改(二次开发)CS,目的是修改其特征防溯源,或是替换模板让其生成的payload直接达到免杀效果今天的内容主要涉及以下几个方面:(修改前提是将CS的jar文件反编译,修改完后再打包替换) 1 、表面配置特征消除修改CS端口(没改的是50050端口,可修改成其他的端口)修改CS证书配置修改CS加载文件配置 2 、上线流量特征消除采用默认http(s) 的CS请求url为4位字符串(如aaa9),将这4位字符串作为传入,通过算法checksum8会得到92(93) ,蓝队可以以此判定为CS连接器。原创 2023-07-25 16:24:46 · 684 阅读 · 0 评论 -
第117天:免杀对抗-反VT沙盒&反虚拟机&反调试&进程APC注入&项目保护
"反VT反调试" 大致实现流程为:先检测是否在虚拟机或沙箱中运行,若不是则执行shellcode,反之则不执行。原创 2023-07-24 01:24:25 · 626 阅读 · 0 评论 -
第116天:免杀对抗-EDR&Syscall-hook&DLL反射注入&白加黑&隐写分离&加载器
之前介绍的是exe,现在讲的是"dll加载",当然exe的免杀技巧也可以用到dll加载上,比如加密混淆、分离等dll加载主要涉及以下几种方式:1、自写DLL调用加载:由于dll无法直接执行,所以可以写一个py文件打包成exe,其只是用来调用dll,而dll中写有shellcode2、DLL劫持-白加黑-导入加载:利用进程工具获取白应用执行要加载哪些dll,将其中某个dll导入pe工具添加恶意dll函数,然后替换原来的dll,最后运行白应用3、DLL劫持-白加黑-导出编译:(适用某些会检测dll原创 2023-07-23 17:45:27 · 773 阅读 · 0 评论 -
第115天:免杀对抗-特征码定位&添加花指令&加冷门壳&加反VT保护&资源修改
之前针对的是没有打包成exe的代码做文章,现在是对打包好了的exe做文章今天针对打包好的exe免杀,介绍了以下几种技术: 1 、通用跳转法:主要思想:通过跳转至其他代码区域执行代码,而不是按照原始代码的顺序线性执行,难以被静态查杀。利用工具(VirTest)检测特征码的位置,然后将特征码区域汇编移动到全0区域(即空白区),先jmp到移动后的区域,然后再jmp回来继续执行。2 、花指令改入口:花指令就是一些垃圾汇编指令(无实际操作的指令),可以使结构更加混乱,增加查杀难度,但单纯的花指令效果一般。原创 2023-07-22 20:32:36 · 501 阅读 · 0 评论 -
第113天:免杀对抗-内存加载&API封装&UUID标识&MAC地址&IPV4地址&各语言
这里讲的是通过UUID、MAC、Ipv4实现内存加载免杀通常情况下,我们是开辟一块内存,然后直接将shellcode写入到对应的内存中,并且该内存是可读可写可执行的状态,但这种方式太容易被杀软所查杀但如果是利用Windows自身提供的API来将加密或者封装好的shellcode写入到内存执行的话,将会大大增加查杀的难度参考连接:https://www.anquanke.com/post/id/262666。原创 2023-07-21 23:22:39 · 323 阅读 · 0 评论 -
第112天:免杀对抗-加载器分离&无文件落地&图片隐写&SOCK管道&参数协议化
之前的课程讲了C/C++、Python、C #、Go、Powershell、Java、ASM等的shellcode混淆加密免杀技术 现在讲的是 "无文件落地&分离拆分" 的免杀,目的是让杀软即使反编译逆向,也无法在源代码中直接看到shellcode。原创 2023-07-21 18:44:56 · 467 阅读 · 0 评论 -
第111天:免杀对抗-Java&ASM&汇编CS调用&内联C&MSF源码特征修改&Jar打包
【代码】第111天:免杀对抗-Java&ASM&汇编CS调用&内联C&MSF源码特征修改&Jar打包。原创 2023-07-21 14:45:39 · 499 阅读 · 0 评论 -
第110天:免杀对抗-GO&C#&反VT沙盒&逆向调试&参数加载&资源分离&混淆加密
【代码】第110天:免杀对抗-GO&C#&反VT沙盒&逆向调试&参数加载&资源分离&混淆加密。原创 2023-07-21 14:44:28 · 1159 阅读 · 0 评论 -
第109天:免杀对抗-PowerShell&混淆&分离加载&特征修改&EXE生成&填充替换
【代码】第109天:免杀对抗-PowerShell&混淆&分离加载&特征修改&EXE生成&填充替换。原创 2023-07-21 14:43:09 · 337 阅读 · 0 评论 -
第108天:免杀对抗-Python&混淆算法&反序列化&打包生成器&Py2exe&Nuitka
【代码】第108天:免杀对抗-Python&混淆算法&反序列化&打包生成器&Py2exe&Nuitka。原创 2023-07-19 19:02:52 · 1420 阅读 · 0 评论 -
107-免杀对抗-C&C++&溯源ShellCode上线&混淆变异算法&回调编译执行
今天主要讲的是shellcode混淆免杀: 1 、首先明确为什么不对exe类型做手脚,而是对shellcode做手脚?因为对exe类型做手脚(如加壳)可以免杀,但是可能导致出错,无法上线。而对shellcode进行操作,再编译打包成exe,一般不会有这种问题。2 、杀软如何检测到病毒的?一般是通过逆向分析后门文件,匹配病毒特征检测到的。3 、如何用shellcode实现免杀?今天讲的是使用加密算法(如XOR、AES、Hex、RC4)对shellcode进行加密混淆,实现免杀。原创 2023-07-13 18:09:07 · 1257 阅读 · 0 评论