前言:
最近看到很多利用加载器来加载shellcode来实现免杀的思路,前段时间本公众号还推了一个j0师傅的golang加载器,大家用了过后是不是感觉效果都不错?今天本文来利用python来作为加载器来实现免杀的效果。
先说说效果:
经本地测试免杀360全家桶+火绒。
当然免杀的不止这些,其余的没有本地测试,放微步、vs、vt等平台上去跑了。
微步检出率(3/25)
vs检出率(4/49)
vt检出率(16/69)
从上述检测结果来看,国内主流的杀软都过了,检出的基本上都是那几款国外的,在国内用的不多的杀软。
另外windows defender免杀不了~不过在win10中有一个“避让策略”,也就是说当你win10上装了其他杀毒软件后,windows defender就会自动关闭。(惊!小明的win10因为装了杀毒软件然后就不安全了
)
大部分脚本语言加载 shellcode 都是调用的c的ffi,用python加载shellcode我们可以结合ctypes这个库来实现。ctypes 是 Python 的外部函数库。它提供了与 C 兼容的数据类型,并允许调用 DLL 或共享库中的函数。可使用该模块以纯 Python 形式对这些库进行封装。
再来说下使用方法:
-
cs选择好监听器并生成c x64的payload。
![python3内存加载cs shellcode实现免杀]( "python3内存加载cs shellcode实现免杀")
-
复制里面的shellcode到加载器里面。
![python3内存加载cs shellcode实现免杀]( "python3内存加载cs shellcode实现免杀")
![python3内存加载cs shellcode实现免杀]( "python3内存加载cs shellcode实现免杀")
-
利用pyinstaller等工具打包成单一无窗体可执行文件。
![python3内存加载cs shellcode实现免杀]( "python3内存加载cs shellcode实现免杀")
关于免杀维护:
如果用了一段时间后被杀了,可以先看看是杀加载器的特征还是杀shellcode特征,一般都是啥加载器特征多,只需要把加载器中各种变量变形一下就可以了,或者对方法进行变换。
比如说下图:
加载器demo获取:
由于免杀这东西需要不断的维护,用的人一多效果就会变差,考虑到很多人不会对免杀效果进行维护,所以加载器demo暂时先放在知识星球了,先星球成员用着先~
还是那句老话,知识星球不是卖东西的地方,欢迎大家进来讨论技术问题,可以向我投稿或者私聊探讨,或者直接付费加入(加我转账加入有优惠)。(拿出知识,或者拿出金钱~白嫖党两者都不想付出的也就不要想着索取了。)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论