〖教程〗Ladon免杀/.NET免杀/Exe2Ps1/Ps12Exe
背景
有很多人和我说exe被杀了怎么办?我问大家一句mimikaz被杀了你怎么办,是不是用它的PowerShell版或者转成其它格式来免,当然也可以直接修改源码免,但由于是公开的里面很多函数都被杀软盯得很死,加上很多人根本不是很懂代码,对一个公开并且很受欢迎的工具做源码免杀也是很花时间的。所以网上有不少免杀MZ的方法,EXE不能用时大家也会去用PowerShell版远程加载读取等,怎么到Ladon这你们就不知道怎么办了呢?不是一样的原理吗?难道是因为PS版体积较大?有些PY或GO写的工具先不说一般最小就2-3M,有些工具甚至几M甚至几十M也就一个功能你都肯传到目标,而那个功能Ladon也有甚至可能比它还好。Ladon就算是PowerShell版也不过2-3M,能为了一个功能上传几十M,怎么就不能传2-3M的PS版Ladon?难道打算上传一堆几M或十几M的工具到目标?不是吧,阿SIR
由于PowerShell版我也很少用到,所以Github上只转到6.6版本,其它版本大家可以按需转
https://github.com/k8gege/PowerLadon (9.23测试,世界杀软网全免,本地卡巴全免)
免杀原理
由于很多杀软对于powershell脚本的查杀能力比较差,所以可以将.NET程序转成PowerShell脚本,当然并非是反编译EXE再将代码转成PowerShell,这种方法一是难度大又麻烦吃力不讨好,PowerShell的兼容性我想大家应该深受其害,有些函数在C#里可用,但转成powershell可能兼容问题,所以最佳方案是转成BYTE、HEX、BASE64、ASCII、AES等(当初Python版的SCRUN免杀CS的套路在任何语言都可用),比如说大家可能看到网上有利用GO语言AES加密免杀CS等文章,这些方法我说过几次了?所以再次强调一下要懂得举一反三,你可以百度搜索C语言AES算法,然后加密CS,或者其它语言也可以。
内存加载
首先因为大部分杀软只是把Powershell当成文本来样,目前应该没几个可以模拟PowerShell或Hook查看最终执行的杀软。所以稍威加密下我们的程序,杀软由于扫描文本未发现恶意字符串或特定函数,那么基本上就不杀了,静态全免,但是如果你再把加密数据还原成EXE,那它肯定又杀了,所以我们得直接内存加载,方法很多,我们用.NET自带函数反射加载执行程序即可,PowerShelle写法[Reflection.Assembly]::Load,再通过反射调用传参。
Ladon免杀
首先将需要转的exe直接拖放至文本框,如Ladon.exe,点击EXE->PowerShell会生成一个脚本。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-t4QlS6Gh-1626362274831)(http://k8gege.org/k8img/Ladon/gui/Ladon_PowerShellEncode.PNG)]
源码自行反编译此程序查看即可(注意反编译和逆向是两个概念,点个按钮反编译没任何难度 )
复制红线所示@和@里的字符串很长可能有2M
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E3h81HJ5-1626362274840)(http://k8gege.org/k8img/Ladon/gui/Exe2Ps12.png)]
替换Ladon6.6.ps1里面那个很长的字符串,注意长度那里也要替换如637440替换成1708544
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qx7MNHKE-1626362274847)(http://k8gege.org/k8img/Ladon/gui/Exe2Ps13.png)]
接下来把新版本的新增的功能参数添加上去即可,看模块对应参数个数来加就可以了
EXE转PowerShell
上面教大家转Ladon,但是其它的EXE或DLL怎么用?以数学加法运算为例子
namespace Math
{
public class Methods
{
public Methods()
{
}
public static int add(int a, int b)
{
return a+b;
}
public int sub(int a, int b)
{
return a-b;
}
}
}
命令: csc.exe /target:library Math.cs
编译以上代码得到DLL,使用LadonGui一键转换得到PS1,在结尾处追加调用方法
其它程序同理,你写的EXE/DLL是什么命名空间、什么方法对应添加到最后一行
如图计算500+20的结果
为什么换其它语言就免杀?
由于语言结构特性等,特别新出的语言,杀软要查杀它前提是不是得去研究那门语言的结构特征,这就是为什么同样的方法换个语言就
九种混淆方法
Ladon九种PowerShell命令混淆加密免杀方法
http://k8gege.org/Ladon/PowershellEncode.html
Ladon下载
历史版本: https://github.com/k8gege/Ladon/releases
7.0版本:https://k8gege.org/Download
7.5版本:K8小密圈
〖教程〗Ladon免杀/.NET免杀/Exe2Ps1/Ps12Exe相关推荐
- 远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结...
Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结 1. ,免杀技术的用途2 1.1. 病毒木马的编写2 1.2. 软件保护所用的加密产品(比如壳)中,有 ...
- 远控免杀5---Veil免杀
0x01 免杀能力一览表 1.下表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass. 2.为了更好的对比效果,大部分测试payload均使用msf的windows/meterpert ...
- 远控免杀4---Evasion免杀
0x01 免杀能力一览表 1.下表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass. 2.为了更好的对比效果,大部分测试payload均使用msf的windows/meterpert ...
- 远控免杀专题(9)-Avet免杀(VT免杀率14/71)
本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2.远控免杀专题(2)-msfvenom隐藏的参数: ...
- 远控免杀专题(16)-Unicorn免杀(VT免杀率29/56)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题(13)-zirikatu免杀(VT免杀率39/71)
声明:文中所涉及的技术.思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.远控免杀专题(1)-基础篇:https://mp.w ...
- 远控免杀专题文章(3)-msf自免杀(VT免杀率35/69)
原文链接:远控免杀专题文章(3)-msf自免杀(VT免杀率35/69) 免杀能力一览表 几点说明: 1.上面表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass. 2.为了更好的对比效 ...
- 战神引擎架设php,战神引擎免GGTools验证,免PHPStudy 通用版本搭建教程+修改默认端口+100%进游戏...
战神引擎免GGTools验证,免PHPStudy 通用版本搭建教程+修改默认端口+100%进游戏 说明 有人说谁谁的教程才2,30块钱 贵有贵的道理,需要就买,没人强迫你. 保你能顺利进游戏 100% ...
最新文章
- 【Android View绘制体系】invalidate
- colab把数据放在content下面以及放在drive下面的训练速度比较
- Idea创建简单Java Web项目并部署Servlet
- TLS(Thread Local Storage)问题demo
- android:AdapterView.OnItemClickListener
- 【026】国务院督查组莅临翼辉信息参观调研
- 分享各类优秀与设计师制作公司相关的资源网站
- 【Markdown简单语法练习】
- JavaScript getMonth() 函数用法
- 转载:CVPR 2019 论文汇总(按方向划分,0611 更新中)
- JAVA入门——lesson 7
- HbuilderX:uni app踩坑之uView-ui
- OpenGL-36-01SSAO
- 智能硬件行业产品经理
- 简约不简单 细说专票电子化的“四个新”
- 鸿蒙最新功能及承载设备详解:HarmonyOS 2及华为全场景新品发布会全纪录
- 深入浅出,五次课程,带您进入数据分析的世界
- volatile 与处理器的嗅探技术
- 转换MP3工具(Streambox RipperRM)
- gta5 android版数据包,gta5手机版2.8g数据包
热门文章
- RDCMan之DPI 和 Screen Resolution设置
- 异步社区两周年 - 技术图书免费送(活动已结束)
- 软件测试——白盒测试
- 学业水平测试计算机知识点,2021高中学业水平考试信息技术知识点
- 10页PPT,看懂 SaaS 客户生命周期
- ECharts百度图表
- Zabbix使用snmptrap方式监控vCenter Server
- java打印pdf文件乱码_java – 从PDF复制粘贴在原始文件上是乱码,但在使用CutePDF打印pdf时已修复...
- Keil 安装 配置
- eclipse汉化 eclipse汉化版退回英文版详细介绍