===================================
0x01 工具介绍
0x02 安装与使用
1.工具使用了python3.7.9 开发,安装相关依赖包:
pip3 install -r requirements.txtpython3 StormBypassAV.py
2.支持普通和隐匿2种模式:
3.普通模式下使用了几种不同的内存申请/写入内存方式,通过将shellcode和shellcode加载器代码都进行加密实现了不错的免杀效果,并添加一些随机位移使得最终的木马比较难找到静态特征。
4.隐匿模式下实现了进程注入和进程镂空(傀儡进程)
-
进程注入将shellcode注入到指定进程中运行,木马程序本身被杀毒软件检测到后会被删除。
-
进程镂空通过运行指定程序并挂起,然后将已有的exe木马写入目标进程中运行,杀毒软件检测到的恶意进程是我们运行的目标程序。defender基于行为的监测技术能够发现被镂空的程序在执行恶意指令,因此会主动终止目标程序,但如果是winlogon.exe,它只会提示重启。
5.实现了本地和网络分离免杀,由于shellcode每次生成的不一样,所以配置菜单中增加了SSH服务器,配置后可以自动将新生产的payload同步到web服务器上
0x03 项目链接下载
原文始发于微信公众号(Web安全工具库):风暴免杀工具 -- StormBypassAV
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论