<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    X-AV Shellcode靜態免殺框架

    VSole2022-07-26 18:46:56

    前言

    這是前幾年寫的一個小工具,不參加護網了,留著也沒用,QWQ

    X-AV是使用golang編寫的一款shellcode混淆加載器,便于跨平臺使用。技術原理比較簡單,動態替換shellcode加載的模板,模板內置在二進制文件里面.

    Github地址 https://github.com/XTeam-Wing/X-AV 

    源碼在知識星球  建議配合go-strip食用.

    Web版本

    有文件捆綁功能,但是容易被殺.

    Cmd版本

    需要先安裝garble

    GO111MODULE
=
on go get mvdan
.
cc
/
garble

    參數說明

    • -domain string
    •   填寫的話會生成帶有虛假證書的exe
    •  -encrypt string
    •   加密方法:xor,rc4,aes(使用aes的時候要帶上salt參數)
    •  -key string
    •   encryption key (default "1314")
    •  -loadermethod string
    •   選擇shellcode加載方式 (default "CREATEFIBER",有五種加載方式)
    Syscall
Uuid
CreateFiber
CreateProcessWithPipe
EtwpCreateEtwThread
    • -o string
    •   output path (default "boomsec.exe")
    •  -password string
    •   fake domain cert password (default "201314",搭配-domain參數)
    •  -persistence
    •   Persistence[True or False] 權限維持功能
    •  -salt string
    •   aes 加密的salt,配合aes加密方法
    •  -sandbox
    •   Bypass Sandbox Check,是否添加反沙盒技術,默認否
    •  -shellcodepath string
    •   shellcode path (default "shellcode.bin")
    •  -v display detail infomation

    常規使用

    不加沙盒

    go run main
.
go 
-
shellcodepath cdn
.
bin 
-
encrypt rc4 
-
key wing 
-
salt key  
-
o 
22.exe
 
-
loadermethod 
CreateFiber

    添加反沙盒技術

    go run main
.
go 
-
shellcodepath cdn
.
bin 
-
encrypt rc4 
-
key wing 
-
salt key  
-
o 
22.exe
-
loadermethod 
CreateFiber
-
sandbox

    使用aes+uuid

    go run main
.
go 
-
shellcodepath cdn
.
bin 
-
encrypt aes 
-
salt 
-
key wing 
-
salt key  
-
o 
23.exe
-
loadermethod uuid

    免殺靜態方法
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    什么?你還不會webshell?(二)
    2022-07-22 17:05:46
    webshell之傳參方式及特征繞過傳參方式 在這里解釋一下為什么,需要講述傳參方式,由于在很多情況下,以請求頭作為參數傳遞并非waf和人工排查的重中之重且非常誤導和隱藏
    冰蝎流量初探
    2022-12-20 09:11:06
    本文僅針對冰蝎流量改造進行初步探討,熟悉一下整個流程,真的要繞流量設備,估計還需要其他的技巧。
    |白加黑的初步探究
    2023-04-24 09:42:18
    0X01起源在攻防演練中通過運行惡意代碼連接C2是最常用的手段,但是由于對抗程度的提升。以360、天擎為代表的殺毒軟件針對信任鏈的檢測,已經變得愈來愈成熟。這里我們可以理解為,攻擊者通過利用"白加黑"這種攻擊方法。當攻擊者通過社工釣魚的手段,使得目標下載惡意的文件到目標自己的計算機上,并點擊運行白文件時,該文件會在運行時執行惡意DLL。
    ShellCode加載器 ,360、火絨、Windows Defender
    2022-08-29 06:37:55
    Bypass_AV msf,ShellCode加載器 ,shellcode執行程序 ,360&火絨&Windows Defender代碼夠簡單,估計要不了多久就進特征庫了,被了再去改幾個特征碼照樣又可以,作者的github保持更新,可以去瞅瞅。測試可以國內軟?注意:ShellCode 需要是64位的加載器將生成的ShellCode 填至 Bypass_AV.py 里的 ShellCode = '''ShellCode''' 處注意:保留原始ShellCode 里的雙引號 "示例:最終格式:打包成可執行程序編譯Python 3.8.6pyinstaller 4.7pip install pyinstaller
    工具 -- Bypass_AV?【文末抽獎】
    2022-08-16 22:02:56
    Bypass_AV msf,ShellCode加載器 ,shellcode執行程序 ,360&火絨&Windows Defender。代碼夠簡單,估計要不了多久就進特征庫了,被了再去改幾個特征碼照樣又可以,保持更新。
    技術有一套
    2022-07-20 09:45:45
    方式可能是上面的兩種方式,看情況。動態行為,運行中執行的某些行為被殺毒軟件攔截報讀。不同工具之前局別是使用的分割算法不同,查找特征碼的效果不同。
    滲透測試-木馬的幾種方式
    2022-07-06 22:01:29
    ,又叫殺毒技術,是反病毒,反間諜的對立面,是一種能使病毒或木馬免于被殺毒軟件查殺的軟件。它除了使病毒木馬免于被查殺外,還可以擴增病毒木馬的功能,改變病毒木馬的行為。的基本特征是破壞特征,有可能是行為特征,只要破壞了病毒與木馬所固有的特征,并保證其原有功能沒有改變,一次就能完成了。
    技術有一套(方法大集結)(Anti-AntiVirus)
    2022-05-20 06:53:05
    方式可能是上面的兩種方式,看情況。動態行為,運行中執行的某些行為被殺毒軟件攔截報讀。不同工具之前局別是使用的分割算法不同,查找特征碼的效果不同。然后繼續測試另外的連鎖條件,直到找到最后一個連鎖條件,抹掉后,整個文件了,則說明特征代碼被定為完畢了,所以VIRTEST絕對可以精確的定位出所有的復合特征。直到定位到某個函數或者多個函數,進入3。有,單獨檢查該文件或者數據,方法從1開始。
    VSole
    網絡安全專家
      亚洲 欧美 自拍 唯美 另类