远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)

最新推荐文章于 2024-06-05 15:16:35 发布
最新推荐文章于 2024-06-05 15:16:35 发布
阅读量1k 收藏 15
点赞数 1

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

本专题文章导航

1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

2、远控免杀专题(2)-msfvenom隐藏的参数:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w

3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA

4、远控免杀专题(4)-Evasion模块(VT免杀率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ

5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw

6、远控免杀专题(6)-Venom免杀(VT免杀率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ

7、远控免杀专题(7)-Shellter免杀(VT免杀率7/69):https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg

8、远控免杀专题(8)-BackDoor-Factory免杀(VT免杀率13/71):https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ

9、远控免杀专题(9)-Avet免杀(VT免杀率14/71):https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA

10、远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70):https://mp.weixin.qq.com/s/zOvwfmEtbkpGWWBn642ICA

11、远控免杀专题(11)-Avoidz免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/TnfTXihlyv696uCiv3aWfg

12、远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70):https://mp.weixin.qq.com/s/MVJTXOIqjgL7iEHrnq6OJg

13、远控免杀专题(13)-zirikatu免杀(VT免杀率39/71):本文

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus

免杀能力一览表

几点说明:

1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。

2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。

一、zirikatu介绍

zirikatu是一个用bash编写的小脚本,依赖于msf、mono、mcs等软件,也是调用msfvenom生成shellcode,然后将shellcode嵌入C#代码,试用Mcs编译生成exe后门。

Mono可以让.NET程序跨平台运行在Linux,BSD,Windows,MacOS,Sun Solaris,Wii,索尼PlayStation,苹果iPhone等几乎所有常见的操作系统之上。从Mono2.11版本开始,采用的编译器叫mcs,它的作用是将C#编译为CIL(Common Language Infrastructure,通用中间语言,也叫MSIL微软中间语言,这个语言能运行在所有支持CIL的环境中)

二、安装zirikatu

下载到本地

git clone https://github.com/pasahitz/zirikatu.git

三、zirikatu使用说明

执行命令

chmod +x zirikatu.sh
./zirikatu.sh

四、生成后门

还是使用最常规的reverse_tcp进行测试,选项都比较简单,默认填写就可以

测试机执行,360和火绒静态检测和动态检测都可以bypass

那个弹窗是我故意加的,生成payload的时候不加就可以

msf可正常上线

virustotal.com中39/71个报毒,以为能过360和火绒,免杀应该不错的...

五、小结

zirikatu利用msfvenom生成shellcode,之后再进行一定处理,编译生成exe。原理比较简单,操作比较方便,免杀效果相比专题12里的Green-Hat-Suite来说虽然一般,但能过360、火绒和瑞星的确有点出人意料。

参考

Msf&zirikatu免杀结合利用:http://www.secist.com/archives/3113.html

扫描下方二维码学习更多安全知识:

Ms08067安全实验室

专注于普及网络安全知识。团队已出版《Web安全攻防:渗透测试实战指南》,《内网安全攻防:渗透测试实战指南》,目前在编Python渗透测试,JAVA代码审计和二进制逆向方面的书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货,从零开始、以实战落地为主,致力于做一个实用的干货分享型公众号。

官方网站:www.ms08067.com

Ms08067安全实验室
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zirikatu使用及免杀测试
时乙的博客
10-18 604
那些没有消灭你的东西,会使你变得更强壮。 ——尼采 zirikatu介绍 zirikatu是⼀个⽤bash编写的⼩脚本,依赖于msf、mono、mcs等软件,也是调⽤ msfvenom⽣成shellcode,然后将shellcode嵌⼊C#代码,试⽤Mcs编译⽣成exe后 ⻔。 zirikatu安装 zirikatu安装非常简单,首先下载到本地: https://github.com/pasahitz/zirikatu.git 分配权限: chmod +x zirika...
最新免杀远控(过金山卡巴瑞星主流杀软)不过360实时防护
02-09
最新免杀远控(过金山卡巴瑞星主流杀软)不过360实时防护
Ghost远控最新免杀
06-10
Ghost远控最新免杀,基于源码重新编译,体积小。稳定,键盘记录清晰,可记录中文。
远控免杀专题 13----zirikatu免杀
qq_41683305的博客
03-27 700
0x01 免杀能力一览表 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(202...
实战shell免杀&C2远控&工具魔改(免杀日记 - 上篇)
guanjian_ci的博客
06-05 2050
1、上面实验内容并不多,但是工具的使用、环境的安装、代码的排错够新手玩上几天了。2、绕过杀毒软件的本质就是防止被杀毒库匹配,代码、工具指纹等等!3、一个好的免杀,一定具备了多方面的性能:防杀软、绕过流量平台、防沙箱、防逆向调试后依然能够正常运行上线!4、此文章分上 、 中 、下,未完待续... ...
BAT 远控 最新免杀共享测试版
12-25
最新BAT 远控 ,近交流,禁止违法活动
全套免杀教程+免杀工具合集
最新发布
08-25
远控免杀专题(1)-基础篇.pdf 远控免杀专题(2)-msfvenom隐藏的参数.pdf 远控免杀专题(3)-msf自带免杀(VT...远控免杀专题(13)-zirikatu免杀(VT免杀39-71).pdf 远控免杀专题(14)-AVlator免杀.pdf 等共74课+48个工具脚本
30.远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀10-69)1
08-03
远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀10-69)1】 在网络安全领域,绕过反病毒软件(AV)的检测,即“免杀”技术,是一项重要的技能。本文将探讨如何利用Python来加载和执行shellcode,同时尽...
04.远控免杀专题(4)-Evasion模块免杀(VT免杀12-71)1
08-03
在VirusTotal上,42/71的查杀表明该方法的免杀效果并不理想,且随着时间的推移,查杀可能会增加。 2. **生成HTA(VT查杀14/59)** 使用`windows/windows_defender_js_hta`模块可以生成HTA(HTML应用程序)...
28.远控免杀专题(28)-C、C++加载shellcode免杀(下)(VT免杀3-71)1
08-03
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载: ht
32.远控免杀专题(32)-Go加载shellcode免杀-3种方式(VT免杀7-70)1
08-03
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载: ht
远程控制最新免杀版v3.0
11-18
上兴远程控制,最新免杀版,过国内外多款主流杀毒软件!
梦想远程控制软件(最新免杀)
03-14
梦想远程控制软件(最新免杀) 过主流杀毒软件 免杀日期2011年3月14日
更新白金免杀远控!绝对经典!
12-27
更新白金免杀远控!刚出来的不知道还免不免杀就免费用了! 如果不免杀的话,不要怪哦。因为用的人多了,自然就不免杀了!
Free Star 7_STAR_FreeStar_免杀_Free!_远控
09-11
4主机管理摄像头监控语音监控等
华中帝国专版免杀远控2011第10版.rar
10-14
华中帝国专版免杀远控2011第10版.rar 不要说有毒 远控本身就是个制造木马的东西
2010.2011最新终极免杀远程控制软件[远程控制免杀][免杀所有杀软、360安全卫士7.3-7.5无提示]...
weixin_33953249的博客
10-18 663
2010.2011最新终极免杀远程控制软件[远程控制免杀][免杀所有杀软、360安全卫士7.3-7.5无提示] 兼容性:支持Win9X,Win2000,Windows XP,Windows 2003,windows 7等32位-64位操作系统,兼容性更强.用途更广. 基本介绍:【1】 控制端与服务端都采用IOCP模型,数据传输采用zlib压缩方式.【2】 稳...
远控软件GHOST源码免杀
热门推荐
testalllife的专栏
10-19 1万+
远控软件gh0st源码免杀远控软件gh0st3.6开源了,开源意味着我们可以在此基础上进行二次开发,同时也意味着杀软可以较容易的查杀该款远控木马,既然要利用,我们就好源码基础上的木马免杀工作。 好久没有来博客了,我把免杀这部分整理了一下,先抛一砖头,有兴趣的朋友可以接着,也可以和本人交流。 序 gh0st远控软件采用驱动级RESSDT过主
好用的免杀远控
qq_65101934的博客
12-09 1085
能测试的,私 联系。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值