声明
-
仅限用于技术研究和获得正式授权的测试活动!
-
工作繁忙、水平低下、精力有限、时间仓促,代码未经过大量测试,如发现问题请提交 issue。
-
主程序已被部分杀软标记,请添加到杀软白名单。
-
测试的CS版本为4.4,测试的系统版本为Windows 10/11、Server 2008,其他版本自行测试。
下载
https://github.com/1y0n/AV_Evasion_Tool?tab=readme-ov-file
依赖
如果使用工具的全部功能,请确保满足以下全部条件:
-
64位 Windows 7 或以上操作系统
-
.net framework 4.5 或更高版本
-
安装 tdm-gcc 或者 tcc
-
可选:安装64位 Go 语言环境
tdm-gcc下载地址,双击运行,选择 CREATE,然后一直“下一步”即可。
tcc下载地址,这个不需要安装,解压到任意目录即可(目录不要包含中文字符)。
使用
程序现在不会自动检测编译器了,而是使用了 YRconfig.ini 。在正式使用前,你需要更改这个文件的内容。格式参考如下:
[compiler]
GCC="C:TDM-GCC-64bingcc.exe"
GO="C:Gobingo.exe"
将对应 gcc.exe 和 go.exe 的路径替换成你自己的,然后重启主程序就可以使用了。
自20231208版本之后,你可以自己选择c编译器:tdm-gcc 或者 tcc。tcc 生成的体积更小(实测7kb,使用upx可以压到5kb以内),但是不支持自定义程序图标。
生成路径中不要包含中文和空格,否则会生成失败!
针对Cobalt Strike,不要选择生成Windows分阶段木马、Windows无阶段木马,而是生成payload,最终是一个payload.c文件。
原文始发于微信公众号(信安学习笔记):【Web渗透】掩日免杀工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论