cs免杀之基于混淆和加壳

已于 2022-04-16 15:40:02 修改
阅读量4.1k 收藏 21
点赞数 4
分类专栏: 内网安全 文章标签: python web安全
于 2022-04-14 15:29:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54855337/article/details/124172625
版权

写在前面

最近也是没什么状态以及被身边人,事,物所受影响,环境对自己的影响也是非常大,但是随着时间的变化一切也都会改变,离群所居者,不是神灵,就是野兽,所以说需要脱离这种状态,找到自己人生中明确的方向,不能一天天的萎靡不正

简单进行混淆和加壳

其实早在去年11月左右就玩过一点cs,但是那个时候还是懵懵懂懂,虽然现在也是一样的

打开服务端,192.168.4.191为自己的ip也可以127.0.0.1,然后123123为连接密码

使用java或者bat再或者sh打开都可以,然后就是双击运行即可

其他不用管,修改密码为服务端设置的123123即可,然后点击连接即可,进入到工具的界面

点击攻击下的生成后门,然后选择 Windows Executable

选择一个监听,然后选不选x64都可以,然后默认生成windows exe点击Generate即可,然后就是自行选择生成到的地方即可

然后,到了这里一个简单的木马exe就生成成功了

到网上下载一个Restorator软件,这里我下载的是2018的版本,网上破解机好多的,百度一下即可

打开软件,把我们生成的exe木马文件放进去即可,然后随便找个程序的安装包,这里使用vs code来代替吧

直接拖进去即可,然后会显示这样的

我们拖住vscode图标,放到beacon.exe上方,看到有加号放手即可,然后就资源复制成功了,最终效果如下:

然后单击beacon.exe右击选择另存为即可,这里为了模仿的更更像点,直接把vscode安装包的名字给替换为资源替换后马子的名字即可

最终效果如下:

然后这个时候,测试一下火绒,发现还是直接秒杀的,

这咋搞,woc,不急到网上下载一个加壳的软件即可,这里我选用的是Shielden

打开软件,把马子放到里面:

然后把能勾选的,全部给选上即可,然后点击保护即可:

生成后的文件名会有一个_se,好分辨,然后尝试放进火绒看一下,woc失误了,发现还是报毒了

反正就是这样吧,我昨天使用的是网易有道进行的数据复制,是没有报读的,所以还是不要用vscode的安装包了。。。

使用网易有道是没有被查杀的,步骤同上,只是替换的资源不一样罢了,注意需要注意到每一个阶段的时候,自己的马子是否能正常上线

这里的话只测试了火绒,然后360的话,想要绕过需要使用k8的那个数字签证工具,给马子上个数字签证即可

测试使用最后的马子进行验证上线:

VT查杀 70/21 样本:854bac4f12ab6cda429ddca7bae4c1f3ef35131f38b4bab0e46853ba58ad1ea2

shellcode不落地

我们还可以进行这样的一种想法,使用远程加载shellcode和加载器,这样是否可以被查杀的概率更小呢

到vps上面暂存我们的shellcode

然后我们可以远程加载获取这段shellcode,上面的shellcode是经过base64加密过一层的,然后就是加载器了,这里我放在的是本地的内网环境

如果自己有需要也可以放在vps上,

跟普通的shellcode是一样的,就是套了一层编码,然后加载琪获取到了数据解码,然后申请内存,等等,也是可以在shellcode上面再进行改造

什么异或啊,hex啊,base啊,等等,有能力的可以自己写个算法

然后就是加载数据,执行了

打包成exe,使用pyinstaller打包,加个-w

不会的可参考:python文件打包成exe可执行文件_0dm1n的博客-CSDN博客

最后生成的再dist文件夹里面,尝试运行是否能正常上线:

woc,翻车了,不能够正常上线,但是上午测试使用这个马子上了好多台

不知道为啥到下午测试就上不了线了,我很无语,可能要重新搞过,噶了,命令行也没用,我很烦恼

懒得重新搞过了,大概思路就是这样了,还是没有玩明白进程注入这样的,把cs驾到公网上,会更爽,上面的测试全是在内网完成的,会话老是会掉,有点无语

VT查杀 69/9 样本:079615b63b4dc5a8fbcb18a1f4496a169026e41a9a6cf7cd073c748ce7c98e72

参考:CS结合python3混淆shellcode制作免杀脚本_码啊码的博客-CSDN博客_cs免杀

Python shellcode免杀_猪猪侠20的博客-CSDN博客_shellcode免杀免杀学习--shellcode加载免杀 - Shu1L's blog

结语:哈哈哈,没事玩玩这个还是挺有意思的,其实还可以搭配更多的插件进行利用的

差不多思路就是这样,之后有时间搞一下编码这样的免杀吧,奈何鄙人学艺不精,只会点这样的小把戏,各位看官见笑了!   写这玩意写了一下午

【还是学长吊,自己写算法,打包exe,vt报读0,猛的一批】

写在最后:
千万不要相信什么人生不要输在去起跑线上这样的话,只有百米短跑才在乎起跑线,人生是一场马拉松,谁能坚持到最后,才最关键
如果命运是世界上最烂的编剧,你就要争取,做你人生最好的演员

0dm1n
关注
  • 4
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
Cobalt Strike免杀(完结)
qq_32445755的博客
04-18 747
多字节 XOR 或 AES 加密的 shellcode 生成payload 环境 linux python2 工具ShellcodeWrapper 查看python位置 python -c "import sys; print sys.executable" pip2 安装 # 安装setuptools wget https://pypi.python.org/packages/source/s/setuptools/setuptools-18.5.tar.gz tar ..
APT级全面免杀与企业纵深防御体系的红蓝对抗
悦分享
08-03 686
本文通过模拟APT演示了高级威胁的全面免杀能力,并站在防御者角度思考如何发现、检测和防御高级威胁攻击,从而了解到攻防的对抗性,体会了企业建设纵深防御体系的重要性。
加壳免杀工具\FakeNinja2伪装免杀.8.rar
04-04
2010adsl2010adsl2010adsl2010adsl2010adsl2010adsl2010adsl
免杀加密加壳工具
09-13
免杀必不可少的工具。自己用的,放出来了!
【渗透实战】木马免杀
最新发布
Hacker_doggy的博客
07-19 849
base64 sgn编码。
CS(Cobaltstrike)免杀和使用(附脚本)
热门推荐
hackzkaq的博客
07-23 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 作者:掌控安全-hpb1分享! 一.Cobaltstrike简介 作为一款协同APT工具,功能十分强大,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选 fireeye多次分析过实用cobaltstrike进行apt的案例。 Cobaltstrike安装 CS需要一个服务器来进行,我们把它放到服务器上。 然后运行./teaserver ip 密码即可。 然后使用CS客户端连接即可,输入对应ip、端口和密码。
cs免杀(一)
kuuhh的博客
08-12 638
前言 网上搜了几篇文章复现下操作。 ps1文件免杀 生成ps1文件 将关键字FromBase64String括号内的字符串复制起来。 将下面代码保存改为ps1文件执行 $string = '' $s = [Byte[]]$var_code = [System.Convert]::FromBase64String('刚刚复制的字符串') $s |foreach { $string = $string + $_.ToString()+','} $string > d:\1.txt 代码输出到1.t
加壳、脱壳以及如何病毒免杀技术与原理
aitanwu4387的博客
12-30 955
壳,加壳,脱壳 在自然界中,我想大家对壳这东西应该都不会陌生了,由上述故事,我们也可见一斑。自然界中植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序...
CS免杀姿势
YJ_12340的博客
08-03 592
多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。
万能加壳免杀工具
04-02
实现多种加壳免杀,支持EXE ,DLL 类文件的加壳,压缩自身体积
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1174
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
CS-Loader:CS免杀
03-22
CS-避免杀CS免杀,包括python版和C版本的(经测试Python打包的方式在win10上存在bug,无法运行,Win7测试无异常 V1.0:目前测试可以过Defender /火绒的静杀+动杀,360还没测= =不想装360全家桶了,可以自行测试 下一步开发计划: V1.5:加入C版本CS免杀(已完成) V1.7:加入Powershell的免杀(已完成) V2.0:开发出UI界面 V2.0:开发成在线免杀平台(已完成) PS:在实际使用中发现图形化界面不利于和其他工具结合,引用之下命令行的方式更具有扩展性 关于自己写的在线免杀平台,暂不考虑开源,主要是觉得当前的技术还比较薄弱,如果有师傅想体验可以联系我 V3.0:想办法结合更多免杀技术(想去研究下进程注入/文件捆绑,不知道免杀效果怎样) V3.1增加了go版本(可过火绒/ 360 / defender) 依赖环境 Pyt
加壳免杀工具RLPack V1.21 Basic Edition 汉化版--安全中国anqn.com
10-05
加壳免杀工具RLPack V1.21 Basic Edition 汉化版--安全中国anqn.com 加壳的好工具
易语言一键过免杀,过360. (加壳
10-21
Esprotect3.9.exe 易语言一键过免杀,过360. (加壳
国外冷门免杀加壳程序Pepsi Packer v2
12-04
国外冷门免杀加壳程序Pepsi Packer v2 好用简单的免杀
2018最新免杀
02-26
这是一款免杀壳,2018年2月18日亲测,如不免杀请配合别的手法进行更好的免杀效果。免杀壳只是暂时的,做好去学习一下myccl定位特征码
网络对抗技术-Exp3-免杀原理 20181314
weixin_46014245的博客
03-31 697
一、免杀原理及基础问题回答 1.免杀原理 一般是对恶意软件做处理,让它不被杀毒软件所检测。也是渗透测试中需要使用到的技术。 要做好免杀,就时清楚杀毒软件(恶意软件检测工具)是如何工作的。AV(Anti-virus)是很大一个产业。其中主要的技术人员基本有编制恶意软件的经验。 反过来也一样,了解了免杀的工具和技术,你也就具有了反制它的基础。 2.基础问题回答 杀软是如何检测出恶意代码的? 基于特征码的检测:简单来说一段特征码就是一段或多段数据,经过对许多恶意代码的分析,我们发现了该类恶意代码经常出
木马的加密与防杀 Microsoft Word 文档.docx
12-17
《黑客手册》等专业资源提供了丰富的免杀技术和技巧,通过定期学习和实践,可以显著提高对木马免杀的理解和应用能力。 总的来说,对抗杀毒软件的查杀,木马开发者利用工具和技巧来改变木马的形态,使其在安全软件的...
【网络安全】木马免杀方式——加壳免杀
A1_3_9_7的博客
01-25 2057
免杀,又叫免杀毒技术,是反病毒,反间谍的对立面,是一种能使病毒或木马免于被杀毒软件查杀的软件。它除了使病毒木马免于被查杀外,还可以扩增病毒木马的功能,改变病毒木马的行为。免杀的基本特征是破坏特征,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。免杀技术也并不是十恶不赦的,例如,在软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件认为是木马病毒;一些安全领域中的部分安全检测产品,也会被杀毒软件误杀,这时就需要免杀技术来应对这些不稳定因素。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值