CS免杀之信手拈来

  • A+
所属分类:安全文章

  点击蓝字关注我哦


前言

最近搞了一个cs免杀的东西出来,主流的杀毒软件,某绒,某0,windows defender都轻松过掉,但是把在测试卡巴全方位版时,成功上线之后就死掉了,我怀疑不是内存查杀,如果是内存查杀,我把shellcode写进去内存的时候,就应该爆肚了,我觉得还是cs上线之后的行为触发卡巴的杀毒机制,就哦豁了。

然后我就在github上面找点项目来参考一下,果然找到一个很不错的项目,这里分享给大家。



免杀实践

项目地址:

https://github.com/ORCA666/EVA2

根据作者描述,这个项目是用来过windows defender的,但是windows defender都能过,那国内的杀软基本是都查杀不出来。

采用的技术有:

- 反调试技术

- 编码的shellcode

- shellode的解密和注入发生在内存中[逐字节],因此被检测到的机会更少

- 使用系统调用

项目还细心配置了**.profile**文件,真不错嗷

1.首先cs生成shellcode,直接生成c文件格式的,64位的(32位不支持)

把生成的shellcode放入encoder.py 文件

CS免杀之信手拈来

python2 运行,获得加密后的shellcode

CS免杀之信手拈来

2.把加密好的shellcode,直接填入项目中

CS免杀之信手拈来


然后编译x64

3.运行效果

轻轻松松上线

CS免杀之信手拈来

4.测试免杀效果

CS免杀之信手拈来

CS免杀之信手拈来

卡巴全方位还是过不了

CS免杀之信手拈来

果然,还是cs的内存特征太明显了,卡巴已经杀烂了,卡巴牛逼,这坚定了我自己写马的决心了。






总结

在绝对的内存查杀,行为查杀面前,变化,加密,都是没有用的,治标不治本,cs的内存特征已经被杀烂了。

但是还是可以,除了卡巴过不了,大多数还是可以顶顶。

重复作者的一句话,第一件事,不要上传云沙箱!!!!!!!!!

反正我无所谓的,我一般都是用我自己的写的马,我也不会分享出来,因为分享出来,几天就没了,感谢大家理解,当然我觉得一些可以分享出来的,我还是毫不保留的分享出来嗷。


CS免杀之信手拈来

END

CS免杀之信手拈来


CS免杀之信手拈来


看完记得点赞,关注哟,爱您!


请严格遵守网络安全法相关条例!此分享主要用于学习,切勿走上违法犯罪的不归路,一切后果自付!



关注此公众号,回复"Gamma"关键字免费领取一套网络安全视频以及相关书籍,公众号内还有收集的常用工具!

在看你就赞赞我!
CS免杀之信手拈来


CS免杀之信手拈来
CS免杀之信手拈来
CS免杀之信手拈来
扫码关注我们
CS免杀之信手拈来


扫码领hacker资料,常用工具,以及各种福利


CS免杀之信手拈来

转载是一种动力 分享是一种美德


本文始发于微信公众号(Gamma实验室):CS免杀之信手拈来

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: