免杀技术
文章平均质量分 53
QQQqQqqqqrrrr
这个作者很懒,什么都没留下…
展开
-
CobaltStrike二次开发环境准备以及免杀
文章目录前言一、环境二、过程1.注册Idea2.原版CobaltStrike3.开始反编译4.新建项目5.配置项目6.去除暗桩7.免杀CobaltStrike免杀其他免杀profile file重写Stager和Beacon参考总结前言原版的CobaltStrike已经被各大杀毒软件给标记了,就算变换profile,stage和beacon也存在着许多特征,所以只能想办法来隐藏和去除,二次编译CobaltStrike就是一个很好的办法。一、环境win7_x64jdk-11.0.14Idea.2原创 2022-05-08 01:24:13 · 7528 阅读 · 5 评论 -
驱动漏洞利用的另一种思路
驱动漏洞利用的另一种思路前言Kernel Callback Routines项目参考前言之前在前面<cpu-z 驱动漏洞利用>中说了可以利用驱动漏洞绕过杀毒软件OBOperationRegistration保护获取进程的最高权限,下面这种又是一种新思路来绕过杀毒软件的保护Kernel Callback Routines当 Microsoft 在 2005 年推出内核补丁保护(PatchGuard)时,严重限制了杀毒软件和一些保护软件在驱动中使用内核hook(例如:sstdhook,I原创 2022-03-27 21:40:39 · 676 阅读 · 0 评论 -
NO_ACCESS Protection
NO_ACCESS Protection前言基本思路参考项目:前言这是原本开始是一位朋友研究后发现的一种对抗游戏外挂的思路,我看了一下发现其实可以扩散一下思路用于免杀对抗,说不定有意想不到的效果。基本思路将内存保护设置为 NO_ACCESS可以对抗杀毒软件的内存扫描,我们可以把容易被杀的部分加密保护起来。虽然思路简单,但是要做到完美运用这种机制来配合实现免杀目的,还是值得好好去研究一下的.参考项目:https://github.com/weak1337/NO_ACCESS_Protect原创 2022-03-27 12:51:18 · 479 阅读 · 0 评论 -
cpu-z 驱动漏洞利用
cpu-z 驱动漏洞利用前言OBOperationRegistration参考项目前言其实这种利用大多数是用来做一些外挂的利用,但是我们可以转换思路来用来对抗杀毒软件的保护。不只是cup-z有这种漏洞,技嘉,戴尔,华硕…等一些大厂都有这种漏洞,并且有些驱动签名还没有失效。OBOperationRegistration当某些软件使用openprocess打开了杀毒软件的进程的时候,会触发这个回调,对openprocess的句柄进行降权操作.使得我们无法使用TerminateProcess、Wri原创 2022-03-26 19:12:37 · 841 阅读 · 0 评论 -
Obfuscate-Mimikatz
Obfuscate-Mimikatz前言环境脚本参考:前言这个脚本可以简单去除一些Mimikatz的特征,但是相对于现在的杀毒软件来说还是会被杀,还要另作处理环境Linux脚本https://gist.githubusercontent.com/S3cur3Th1sSh1t/08623de0c5cc67d36d4a235cec0f5333/raw/dafbd32d1307c4ebb512e4eb7c43c7e1292bcac9/ObfuscateMimi_First.sh参考:ht原创 2022-03-26 18:33:20 · 1424 阅读 · 0 评论 -
Sleep加密绕过内存查杀
Sleep加密绕过内存查杀前言参考:前言这个免杀思路不错,可以尝试一下参考:Shellcode有问题需要自己改https://github.com/SolomonSklash/SleepyCrypt提供的思路可以,根据自己的需求更改https://bbs.pediy.com/thread-267619.htm...原创 2022-03-26 16:41:22 · 516 阅读 · 0 评论 -
RTF文件格式学习
Rich Text Format (RTF) Specification Version 1.9.1(微软的RTF标准文件,不看你还想研究什么)https://www.microsoft.com/downloads/details.aspx?familyid=DD422B8D-FF06-4207-B476-6B5396A18A2B&amp;displaylang=en[翻译]RTF恶意软件如何...原创 2019-01-14 21:59:15 · 1393 阅读 · 1 评论