点击上方蓝字关注我们
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经授权,不得用于其他。
01 免杀思路
使用Restorator 2018来修改文件的属性,BeCyIconGrabber提取图标,upx进行加壳
02 BeCyIconGrabber
使用该软件提取ico图标
这里选用了vs的图标
随便找个位置保存。保存下来之后后缀是ico的
03 Restorator 2018
首先打开Restorator 2018
注册的key
Name: JuNoSLicense Key: eTM0afo7NHb+LdpcduPV4OOXfY2mppIQDxhdusa-qFG8sNfUCMIH6zNZI0M9L9Wuj46ROqd7soWDLinqUepIo2Z63YIaBvjuC2R7MeLBla8MhVNOIMn742RgMQh0ApZ2SJ5kIyYHpPhgcW5zu7R1-j5aenV2paLGFv5Z3lZM7KY
04 原始文件查杀
在这里使用毒刺代理文件:stinger_server.exe ,先使用360杀毒试试:
火绒没查杀出来,火绒真拉跨
修改该exe的属性
4.1 添加图标
修改下图标,将其修改为常规软件的图标,将刚才的图标拖进去。
这里如果exe没有图标,可以先添加资源
将原始的图标删除,然后保存即可
另存为
使用360查杀
05 UPX加壳
使用upx进行加壳:
加壳之后,一样的被查杀了,因为upx的特征在库里
06 010editor修改特征
使用010editor编辑器修改upx特征,将这三处的特征修改:
可以看到有upx关键字,将其修改为0
保存之后,bypass 360成功。
07 Cobaltstrike免杀实战
7.1 UPX加壳上线
生成exe,这里用的是beacon,正常的监听设置
qq图标位置:
C:Program Files (x86)TencentQQBin将其伪装为qq.exe
010改下特征
360没有杀
成功上线
新书推荐
点击上方链接,更多优惠等你哦~
tips:加我wx,拉你入群,一起学习
扫取二维码获取
更多精彩
乌鸦安全
原文始发于微信公众号(乌鸦安全):upx加壳过360
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论