前言
在网络安全领域,免杀技术是指通过各种手段使恶意代码不被杀毒软件检测到,从而实现隐蔽执行的技术。这在安全测试和渗透测试中尤为重要,因为它可以帮助测试人员模拟真实的攻击场景,评估系统的安全防护能力。
先放地址,好用记得给作者一个star嗷!
shellcode_loader_bypass项目由Answerr在GitHub上提供,包含了两个主要的源代码文件test.cpp和bypass1.cpp,它们实现了多种高级绕过技术,以绕过包括360、火绒、腾讯和Defender在内的主流安全软件。
以下是项目中实现的一些关键技术:
API解析与动态调用:在运行时动态解析并调用API,避免静态检测。
API Hammering(API锤击):重复调用无害API以混淆基于行为的检测机制。
字符串混淆与解密:对敏感字符串进行混淆,并在运行时解密以规避静态分析。
NTDLL恢复与反Hook:恢复原始、未Hook的ntdll.dll,绕过EDR放置的用户模式Hook。
线程池执行Shellcode:使用线程池执行Shellcode,模仿合法应用程序行为。
远程线程注入:将Shellcode注入到远程进程中,隐秘地执行负载。
加密Shellcode文件加载:在运行时加载并解密加密的Shellcode文件,避免检测。
使用方法
使用您首选的方法生成原始 Shellcode 的 .bin 文件。将文件重命名为 input.bin,然后运行 xor.py。这将生成一个名为 output.bin 的加密文件。将 output.bin 重命名为 shellcode.bin,并将其放置在与可执行文件相同的目录中。执行负载。
test.cpp中的技术
API 解析与动态调用在运行时动态解析并调用 API,以避免静态检测。
API Hammering(API 锤击)重复调用无害的 API 以混淆基于行为的检测机制。
字符串混淆与解密对敏感字符串(如 API 名称、Shellcode)进行混淆,并在运行时解密以规避静态分析。
NTDLL 恢复与反 Hook恢复原始、未 Hook 的
ntdll.dll,以绕过 EDR 放置的用户模式 Hook。线程池执行 Shellcode使用线程池执行 Shellcode,以模仿合法的应用程序行为。
远程线程注入将 Shellcode 注入到远程进程中,以隐秘地执行负载。
加密 Shellcode 文件加载(
shellcode.bin)在运行时加载并解密加密的 Shellcode 文件(shellcode.bin),以避免检测。
bypass1.cpp
以下绕过技术在 bypass1.cpp 中实现:
API 哈希解析函数使用哈希名称而非明文字符串解析 API 函数,以规避静态分析。
API Hammering(API 锤击)与
test.cpp类似,重复调用无害的 API 以混淆基于行为的检测机制。动态 API 解析在运行时动态解析 API 函数,以避免静态检测。
解除
ntdll.dllHook恢复原始、未 Hook 的ntdll.dll,以绕过用户模式 Hook。加密 Shellcode 文件加载(
shellcode.bin)在运行时加载并解密加密的 Shellcode 文件(shellcode.bin),以避免检测。线程池执行使用线程池执行 Shellcode,以模仿合法的应用程序行为。
隐秘的内存分配以隐秘的方式为 Shellcode 分配内存,避免触发可疑模式导致的检测。
总结
test.cpp:可以绕过腾讯、火绒和Defender,但由于添加了针对 RuntimeBroker.exe 的远程注入功能,无法绕过 360。
bypass1.cpp:可以绕过腾讯、火绒和 360,但无法绕过 Defender。
Github项目地址(记得Star):
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...