免杀
文章平均质量分 82
土豆.exe
部分内容已涉密隐藏
展开
-
上帝模式下的shellcode
github:https://github.com/Wker666讲解视频:https://www.bilibili.com/video/BV1oY411E7hX?p=1&share_medium=iphone&share_plat=ios&share_session_id=95C6D787-6EF6-4E5E-8954-918AF8B95B10&share_source=WEIXIN&share_tag=s_i×tamp=1648518475&.原创 2022-03-29 15:20:08 · 36855 阅读 · 0 评论 -
Golang图片码+压缩伪装+远程调用组合拳
Part1 主要免杀思路首先要将程序进行分离,将shellcode隐藏进图片里,再远程调用图片里的shellcode,达成getshell的目标。同时还要把调用shellcode的执行程序进行伪装,伪装成图片或者其他格式,让目标执行文件时自动拉取shellcode图片,从而上线本篇文章使用了开源项目 https://github.com/Hangingsword/HouQing此处举例用的是Hou Qing大佬基于Golang语言编写的免杀项目Part2 具体过程及手法我们要先保..原创 2021-12-31 11:54:28 · 73222 阅读 · 0 评论 -
Python免杀
Somethingu have to know: 本Python脚本构建简易的http请求及响应,可通过服务端调用客户端CMD执行命令(可在客户端内置便捷指令 )。同时,脚本使用了PyInstaller,将python解释器及第三方模块进行打包成可执行文件。经测试可免杀绝大多数杀软。0x01 环境准备pip install requests(用于发送请求)pip install pyscreenshot...原创 2021-08-03 12:37:24 · 2233 阅读 · 2 评论 -
shellcode免杀
0x06利用wmic远程文件不落地执行shellcode1、msf生成的hta链接放入hta.xsl文件中,(其中JScript调用mshta运行恶意hta),并将文件放置攻击方服务器<?xml version='1.0'?><stylesheetxmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"xmlns:user="placeholder"..原创 2021-07-14 18:32:51 · 1733 阅读 · 1 评论 -
Powershell免杀
目录Somethingu have to know:0x01调用混淆0x02别名混淆0x03转义符混淆0x04 拆分混淆0x05 例子Somethingu have to know: ps1代码自身免杀,但在用powershell执行远程下载或执行shellcode时,很容易触发杀软行为规则,查杀主要靠行为检测,powershell混淆姿势有很多,如字符串转换、变量转换、编码、压缩等等。都是根据powershell语言的特性来混淆代码,从而绕过杀软。...原创 2021-07-08 00:56:07 · 626 阅读 · 0 评论 -
PE文件不落地执行
PowerShell的主要作用是从远程位置下载恶意文件到受害者主机中,然后使用诸如Start-Porcess、Invoke-Item或者Invoke-Expression(-IEX)之类的命令执行恶意文件,PowerShell也可以将远程文件直接下载到受害者主机内存中,然后从内存中执行。多数情况下,powershell攻击活动中,攻击者会通过命令行进程调用powershell进程,也就是powershell的父进程通常是cmd.exe。...原创 2021-07-02 15:59:52 · 684 阅读 · 0 评论 -
杀软及免杀原理
目录0x01杀软原理1、扫描技术2、主动防御技术3、监测技术4、机器学习识别技术0x02免杀原理1、源头特征修改2、花指令免杀3、加壳免杀4、内存免杀 5、二次编译6、分离免杀7、资源修改8、底层接口干扰0x01杀软原理1、扫描技术 1、特征码扫描 将内存、文件扫描出的特征信息与病毒特征数据库进行对比。(存在黑白名单) 2、文件校验和法 每次...原创 2021-07-02 15:59:34 · 1456 阅读 · 1 评论