特征 混淆 - 使用随机生成的密钥进行 base64 编码和 XOR 加密。 Sandbox Bypass - 自定义休眠功能。 DLL Unhooking - ntdll.dll 的完全脱钩 进程注...
C2-shellcode 免杀器
众所周知的C2-shellcode(例如Metasploit-,CobaltStrike-,Empire Shellcode等)被AV / EPP / EDR静态标记。这意味着,无论您使用哪种聪明的技...
免杀!躲避 AV/EPP/EDR 静态检测
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 现在只对常读和星标的公众号才展示大图推送,建议大家把...
最新C2发布,生成即免杀 - AM0N-Eye
AM0N-Eye是一个由一组最重要的针对Cobaltstrike编写的脚本组成的合集,而其余的文件如de用于修改颜色和图像。所有的版权归原始开发者所有。只需要打开Cobaltstrike.jar文件,...
深入了解 VirusTotal 的数据与文件聚类
工作来源arXiv:2210.15973工作背景VirusTotal 目前每天要处理超过 200 万个样本文件,自从 2004 年开始面对公众服务总共收集了超过 24 亿个样本文件。目前,VirusT...
记针对某单位一次相对完整的渗透测试
给了7个IP地址0x01 加载中日常探测端口信息:ipportx.x.x.2228009x.x.x.22320080x.x.x.398008一度以为自己探测的姿势不对,反复调整还是只扫出这些来。都是w...
X-AV Shellcode静态免杀框架
前言这是前几年写的一个小工具,不参加护网了,留着也没用,QWQX-AV是使用golang编写的一款shellcode混淆加载器,便于跨平台使用。技术原理比较简单,动态替换shellcode加载的模板,...
攻击技术研判|部署杀软驱动终止AV/EDR进程
情报背景近期,Mandiant团队捕获了COLDDRAW新的勒索软件样本。在该样本中,可以看到勒索软件的攻击技术在攻防对抗过程中不断升级。该样本释放杀毒软件Avast的驱动程序并加载,利用该驱动在内核...
干货 |GitHUB安全搬运工 十八
PSSW100AVB这是具有 100% AV 绕过存储库 (PSSW100AVB) 的 Powershell 脚本。具有 100% AV 绕过功能的有用 Powershell 脚本列表地址:https...
译文 | 当前Defender AV 防篡改的局限及功能测试
开卷有益 · 不求甚解介绍 在本文中,我探讨了Microsoft Defender 防病毒 (MDAV)篡改保护功能的限制,该功能仅使用本机配置更改,使用任何具有管理权限的用户都可用的机制。...
Inceptor:一款功能强大的模板驱动型AVEDR安全性检测框架
关于InceptorInceptor是一款功能强大的模板驱动型AV/EDR安全性检测/规避框架,在很多场景中,渗透测试人员或红队研究人员如果想在目标系统上执行代码,通常需要绕过常见的AV/EDR安全防...
Java Web安全之代码审计(总结的很全)
信息安全的75%发生在Web应用而非网络层。本文内容主要以Java Web安全-代码审计为中心展开。文章内容很全,1万8千字,建议收藏本文目录一、JavaWeb 安全基础1. 何为代码审计?2. 准备...
5