利用把Shellcode隐写到图片像素RGB进行免杀上线到CS --by:chenw 0x01 前言 前几天跟一个朋友一起搞一个站的时候,发现那个站点开了很多杀软,使用CS的powershell马无法令其上线.后续在github上找到了一个可以把shellcode隐写到图片的RGB里,然后使其过杀软的检测上线到CS. 今天打算把这个免杀的过程进行一个记录. 0x02 本地环境 靶机:win7 IP:192.168.82.136 攻击机:fsec ip:192.168.82.134 0x03 步骤…

0x00 前言 利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器请求恶意模板并执行恶意模板上的恶意代码.这里,我们借助CobaltStrike生成office宏病毒,在将恶意宏嵌入到Word模板中,诱使受害者远程打开并加载带有宏的恶意Word模版,至目标主机成功上线CobaltStrike. 缺点:目标主机的网速决定了加载远程模版的速度.有可能文件打开的会特别慢(例如将远程模版放在github),受害者可…

BadUsb配合Cobalt-Strike免杀上线 前言: 原理简介:Badusb的原理是将恶意代码预置在固件之中,当受害人插入USB时,就会执行恶意代码进行恶意操作.Badusb将恶意代码预存在U盘的固件中,导致PC上的杀毒软件无法应对BadUsb的攻击. BadUSB就是通过对U盘的固件进行逆向重新编程,改写了U盘的操作系统而进行攻击的. 实现步骤: 1.Cobalt-strike生成Powershell payload. 2.自行从网上找一1920*1080高清壁纸,接下来要将木马免杀进P…

0x01 写在前面 其实去年已经写过类似的文章,但是久没用了,难免有些生疏.所谓温故而知新,因此再详细的记录一下,一方面可以给各位看官做个分享,另一方面等到用时也不至于出现临阵磨枪的尴尬场面. 0x02 附件携马 利用伪造的电邮,在附件中携带木马病毒,如word宏病毒,lnk快捷方式木马,或是捆绑在正常程序中的木马,发送给受害者,使木马成功上线的方式. 然而真实环境中,大多数目标主机上面都安装了杀毒软件,因此本文我们重点不在于如何给受害者发送一封钓鱼邮件,而是用粗略浅显的方法来实现钓鱼木马的免杀…

最近也是学习了一下有关shellcode进程注入的操作,简单分享一下通过golang进行实现shellcode加载器的免杀思路. 杀软的查杀方式 静态查杀:查杀的方式是结合特征码,对文件的特征段如Hash.文件名.函数名.敏感字符串等进行匹配. 动态查杀:主要针对于软件运行后的行为进行查杀,杀软可能会监控内存.注册表.敏感程序以及各种API等.如果程序在运行之后进行了危险操作比如说修改了注册表,那就会杀软查杀. 当然还有云查杀.沙箱这些技术.这里主要还是总结了对于CS.MSF生成的shellco…

1.简介 在安全厂商日趋成熟的背景下,编写免杀马的难度和成本日益增长.好用新兴的开源项目在短时间内就被分析并加入特征库.笔者调研了部分开源项目,其中也有项目做了类似的分析 [1],目前能够免杀的项目初步统计,其特征一是star数不过千,二是发布时间不会很长.尽管以上开源测试项目已经无法免杀,也有两种可以发展的方向,一个是学习其思想,自己实现并去特征免杀:二是改造原有项目,自己查特征.去特征,经过测试也能达到免杀. 免杀方法和思路很多,但据笔者观察,目前免杀分为两大流派.一是二进制流,利用汇编配合…

首发先知: https://xz.aliyun.com/t/7170 自己还是想把一些shellcode免杀的技巧通过白话文.傻瓜式的文章把技巧讲清楚.希望更多和我一样web狗也能动手做到免杀的实现. 文中我将shellcode免杀技巧分为  "分离"."混淆"两个大类,通过不同技巧针对不同检测方式,也就是常听到的特征检测.行为检测.云查杀. 个人能力有限,文中出现错误还请斧正.轻喷. 0x01 那些shellcode"分离"免杀 首先来看看关于…

反病毒解决方案用于检测恶意文件,并且通常使用静态分析技术来区分二进制文件的好坏.如果是恶意文件本身包含恶意内容(ShellCode),那么依靠静态分析技术会非常有效,但如果攻击者使用轻量级的stager来代替下载并将代码加载到内存中,会发生什么?事实证明这样做可以绕过大多数杀软的查杀. 虽然这种绕过方法并不是新鲜技术,但绕过反病毒软件对于大多数后门来说都是必要的,在这篇文章中,我们将使用virscan作为我们的检测工具,并使用Metasploit生成一些反向的ShellCode作为我们的攻击载荷…

2015306 白皎 <网络攻防>Exp3 免杀原理与实践 一.实践基础 免杀,故名思义,指的是一种能使病毒木马免于被杀毒软件查杀的技术. 免杀的方法有很多,比如加壳改壳.加垃圾指令.以及修改内存特征码,在本博客后面就是通过把具有特征码的代码顺序互换一下来达到免杀的目的. 二.实践内容 第一项: Msfvenom编码器生成的程序 1.直接利用上次后门实验生成的exe文件进行检测~ 可以明显的看到将近一半的杀软都可以检测出来错误,说明这个木马不行,之后我们会进行改造,尽量使文件不要被查杀出来.…

目录 -- 免杀原理与实践 免杀原理与实践 本次实验任务 基础知识问答 免杀扫描引擎 实验内容 正确使用msf编码器,msfvenom生成jar等文件,veil-evasion,加壳工具,使用shellcode编程 正确使用msf编码器,生成exe文件,进行免杀检测 使用msfvenom生成jar.php等文件,进行免杀检测 使用veil-evasion生成后门程序及检测 使用shellcode编程生成可执行文件并且进行免杀检测 使用加壳工具生成可执行文件并且进行免杀检测 通过组合应用各种技术实…