【免杀手法】红队免杀木马快速生成
【免杀手法】红队免杀木马快速生成
项目介绍
助力每一位RT队员,快速生成免杀木马
开发需求
- 在HW/攻防演练等场景下需要快速生成免杀木马并且保证文件md5都不一样
- 节约时间,不用在项目上,投入专门的人员进行代码编写
- 高度可拓展和自定义
魔改二开
- 远程加载将Shellcode和loader分开,loader里面只保留Shellcode的URL地址,方便随时销毁。
- 加入Hex、Base64(自定义)加密算法,保留原本的流加密算法,以当前时间戳为key,进行对URL加密,将其保存在资源节中。
- 木马名称随机化,加上流加密算法,使得每次生成的木马md5都不一样。
- 加入了AES(外部传key)、Base64(自定义)、RC4(自定义)算法加密解密Shellcode。
- 高危Windows API,全部采用动态加载的方式,能够使用T函数替换的全部进行了替换,部分模板的函数API进行了UnhookPatch。
- 针对卡巴斯基、orton等对内存查杀较严的杀软,采取IAT Hook和VEH Hook对Beacon进行内存加密+配合C2profile的Sleep_mask选项和自定义通信方式基本无解。
- 针对orton、60qvm等静态查杀较严的杀软,使用Arkari进行代码混淆。
- 增强完善了反沙箱、反调试
上线方式
x64位:
x2位:
使用方式
Step 1:加密Shellcode,选择Stagerless,生成RAW格式
Step 2:生成的beacon.bin放入程序目录下然后运行命令加密,AES key可以自定义(256bit)
代码语言:javascript代码运行次数:0运行复制 bin文件 AES key、将P.bmp上传至云端生成链接,链接必须是访问后,自动下载那种。
4、URL填入,AES key填入,选择模板生成即可
免杀效果
卡巴斯基:
orton:
启发式查杀很厉害,需要给木马加入正常程序的图标、版本信息、清单、数字签名。必须使用Bof操作,shell运行就掉线
ESET
自定义扫描了系统内存和桌面文件
60全家桶:
QVM引擎(很疯狂,大部分时候真不是代码问题)需要做和orton一样的处理
WDF(2016服务器版本)
运行后会提示你复查,不用管,依旧可以上线。
火绒+金山
McAfee
单个免杀效果
部分杀软需要添加白程序的签名、版权信息等,如orton、60、Symantec
APC-Injetc+tdll
bypass:金山(数字签名)、火绒、ESET、60全家桶(物理机)、WDF(PC)、McAfee、卡巴企业版(时间5s 抖动50 Sleep_mask)
nobypass:WDF(服务器无法上线)、orton(静态)
CreateRemoteThread+Syscall+tdll Inject
bypass:McAfee、火绒、金山(数字签名)、ESET、60全家桶(物理机)、WDF(PC)、卡巴企业版(时间5s 抖动50 Sleep_mask)
nobypass:orton(静态)、WDF(服务器无法上线)
CreateThread-Inject+IAT Hook Inject
bypass:McAfee、金山(数字签名)、火绒、ESET、卡巴企业版(时间5s 抖动50 Sleep_mask)、60全家桶(物理机)、orton(加白程序资源)、WDF(PC)、WDF(Server)、Symantec(加白程序资源)
nobypass:
CreateThreatPoolWait+VEH Hook
bypass:McAfee、金山(数字签名)、火绒、ESET、卡巴企业版(时间5s 抖动50 Sleep_mask)、60全家桶(物理机)、orton(加白程序资源)、WDF(PC)、WDF(服务器)
nobypass:
Fiber+VEH Hook Load
bypass:金山(数字签名)、火绒、ESET、60全家桶(物理机)、WDF(PC)、WDF(服务器提示复查(关云保护))、McAfee、orton(加白程序资源)、卡巴企业版(时间5s 抖动50 Sleep_mask)
nobypass:
tTestAlert+VEH Hook Load
bypass:金山(数字签名)、火绒、ESET、卡巴企业版(时间5s 抖动50 Sleep_mask)、60全家桶(物理机)、WDF(PC)、WDF(服务器提示)、McAfee、orton(加白程序资源)
nobypass:
Syscall+IAT Hook Load
bypass:金山(数字签名)、火绒、ESET、卡巴企业版(时间5s 抖动50 Sleep_mask)、60全家桶(物理机)、orton(加白程序资源)、WDF(PC)、WDF(服务器)、McAfee
nobypass:
Callback+IAT Hook Load plus(x86)
bypass:60全家桶(物理机)、WDF(PC)、ESET、金山(数字签名)、火绒、WDF(服务器提)、McAfee、卡巴企业版
nobypass:orton(静态)
memoryMapInjection+Syscall+tdll
bypass:60全家桶(物理机)、WDF(PC)、ESET、金山(数字签名)、火绒、WDF(服务器)、McAfee、卡巴企业版(时间5s 抖动50 Sleep_mask)
nobypass:orton(静态),WDF(服务器)
Function+VEH Hook Load
bypass:卡巴企业版、ESET、McAfee、金山(数字签名)、火绒、60全家桶(物理机)(数字签名+版权信息+清单+图标(可有可无))、WDF(PC)、ESET
nobypass:orton(静态)
免责声明
仅限用于技术研究和获得正式授权的攻防项目,请使用者遵守《中华人民共和国网络安全法》,切勿用于任何非法活动,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任!
本文参与 腾讯云自媒体同步曝光计划,分享自。原始发表:2025-01-02,如有侵权请联系 cloudcommunity@tencent 删除加密加密算法企业程序服务器#感谢您对电脑配置推荐网 - 最新i3 i5 i7组装电脑配置单推荐报价格的认可,转载请说明来源于"电脑配置推荐网 - 最新i3 i5 i7组装电脑配置单推荐报价格
推荐阅读
| 留言与评论(共有 14 条评论) |
| 本站网友 qq激活 | 10分钟前 发表 |
| 不用管 | |
| 本站网友 面部去角质 | 9分钟前 发表 |
| WDF(服务器提示复查(关云保护)) | |
| 本站网友 柏林时装周 | 10分钟前 发表 |
| orton(加白程序资源)nobypass:Syscall+IAT Hook Loadbypass:金山(数字签名) | |
| 本站网友 甘氨酸的作用 | 18分钟前 发表 |
| 火绒 | |
| 本站网友 杭州迪卡侬营业时间 | 22分钟前 发表 |
| 切勿用于任何非法活动 | |
| 本站网友 心源性休克 | 18分钟前 发表 |
| 进行对URL加密 | |
| 本站网友 北京癫痫医院排名 | 14分钟前 发表 |
| 火绒 | |
| 本站网友 陈经纶中学游泳馆 | 11分钟前 发表 |
| WDF(服务器提) | |
| 本站网友 钟声坚 | 10分钟前 发表 |
| 大部分时候真不是代码问题)需要做和orton一样的处理WDF(2016服务器版本)运行后会提示你复查 | |
| 本站网友 avast杀毒软件 | 9分钟前 发表 |
| 自动下载那种 | |
| 本站网友 性别鉴定 | 10分钟前 发表 |
| 全部采用动态加载的方式 | |
| 本站网友 厦门信息网 | 16分钟前 发表 |
| 以当前时间戳为key | |
| 本站网友 摆脱 | 9分钟前 发表 |
| 进行对URL加密 | |