new_in_swor免杀工具的使用方法

2023年12月23日01:12:38评论232 views字数 572阅读1分54秒阅读模式

声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把Hack分享吧“设为星标”，否则可能看不到了！

工具介绍

看了下@snnxyss师傅的这个免杀工具，使用异或处理+分离方式进行的免杀，目前加载器仍可免杀。

据作者说可以bypassAll静态引擎，如绕过QVM，绕过VT所有静态引擎，理论永久免杀，大家可自己去看下......。

他的另一个免杀项目及加载器源码可见另一篇：一个简单好用的内网渗透免杀工具

工具使用

1. Msfvenom或CobaltStrike生成raw的shellcode，或者使用donut将exe、dll转为shellcode。

https://github.com/TheWover/donut

2. 命令终端下执行1.py即可，注意1.py中的shellcode和经过异或处理后的文件名。

3. 实战中将in swor.exe、1223.dat和payload.ini上传到可读写目录下执行即可。

new_in_swor免杀工具的使用方法

4. 使用最新的360安全卫士和火绒扫描in swor.exe（加载器）、1223.dat（shellcode）均没有查杀。

原文始发于微信公众号（Hack分享吧）：new_in_swor免杀工具的使用方法

针对目标已知信息的字典生成工具